R6 - O Ryzyku I Zarządzaniu Ryzykiem - Liderman - Analiza Ryzyka

r
KRZYSZTOF LIDERMAN
ANALIZA RYZYKA
I OCHRONA INFORMACJI
W SYSTEMACH
KOMPUTEROWYCH
WYDAWNICTWO NAUKOWE PWN

WARSZAWA 2009
I..
Projekt okładki: Michał Rosiński
Redakcja: Joanna Cierkońska Spis treści
Skład komputerowy: Krzysztof Świstak
Podziękowania....................................................................................................................... 6
Wstęp......................................................................................................................................7
Zastrzeżonych nazw firm i produktów użyto w książce wyłącznie w celu identyfikacj Rozdział 1. O informacji, bezpieczeństwie i systemie ochrony.............................................9
1.1. O informacji................................................................................................. 10
1.2. O bezpieczeństwie..................................................................................................... 11
1.3. O systemie ochrony informacji*............................................................................... 14
Copyright O by Wydawnictwo Naukowe PWN SA
Warszawa 2008 Rozdział 2. O procesach....................................................................................................... 25
2.1. Procesy biznesowe w analizie ryzyka....................................................................... 26
Rozdział 3. O zasobach, ich inwentaryzacji i klasyfikacji.................................................. 31
3.1. Inwentaryzacja zasobów teleinformatycznych.......................................................... 31
ISBN: 978-83-01-15948-1 3.2. Klasyfikacja zasobów teleinformatycznych.............................................................. 32
3.3. Ocena wartości zasobów informacyjnych................................................................. 35
Rozdział 4. O zagrożeniach i podatnościach....................................................................... 39
4.1. Rozważania o zagrożeniach...................................................................................... 40
4.2. Jak szukać zagrożeń - pytania i podpowiedzi........................................................... 49
4.3. Burza mózgów - przykład techniki identyfikacji zagrożeń...................................... 53
Wydawnictwo Naukowe PWN SA 4.3.1. Generowanie zagrożeń/scenariuszy............................................................... 56
02-676 Warszawa, ul. Postępu 18
4.3.2. Redukcja zbioru zagrożeń.............................................................................. 56
tel. (0 22) 69 54 321
faks (0 22) 69 54 031 4.3.3. Nadawanie priorytetów scenariuszom............................................................ 56
infolinia 0 801 33 33 88 4.4. Podatności.................................................................................................................. 57
e-mail: pwn@pwn.com.pl Rozdział 5. O pomiarach bezpieczeństwa teleinformatycznego..........................................59
www.pwn.pl
5.1. Pomiar........................................................................................................................ 61
5.2. Elementy formalnej teorii pomiaru*.......................................................................... 62
5.3. Omówienie wymagań definicji pomiaru................................................................... 64
Wydanie pierwsze, dodruk 1 5.3.1. Określenie przedmiotu pomiaru..................................................................... 64
Arkuszy drukarskich 18
5.3.2. Przyporządkowanie liczb (miar).................................................................... 64
Druk ukończono w kwietniu 2009 r.
Druk i oprawa: 5.3.3. Obiektywność................................................................................................. 65
Podlaska Spółdzielnia 5.3.4. Empiryczność................................................................................................. 66
Produkcyjno-Handlowo-Usługowa 5.4. Uwagi końcowe o „mierzeniu” bezpieczeństwa........................................................ 66
Białystok, ul. 27 Lipca 40/3,
tel./fax (085) 675-48-02
4 Analiza ryzyka i ochrona informacji w systemach komputerowych Spis treści 5
Rozdział 6. O ryzyku i zarządzaniu ryzykiem...................................................................... 69 9.3.2. Przesłanki budowy „w głąb” systemu ochrony........................................... 188
6.1. Ryzyko a problemy decyzyjne*............................................................................... 71 9.4. Architektura systemu bezpieczeństwa teleinformatycznego....................................188
6.2. Charakterystyka procesu zarządzania ryzykiem....................................................... 76 9.5. Analiza i projektowanie systemu bezpieczeństwa teleinformatycznego................. 192
6.3. Analiza ryzyka - identyfikacja zagrożeń, podatności i środowiska......................... 78 9.5.1. Etap analizy...................................................................................................192
6.4. Identyfikacja wymagań dotyczących poziomu ochrony........................................... 81 9.5.2. Etap projektowania........................................................................................193
6.5. Analiza ryzyka - szacowanie ryzyka........................................................................ 83 9.5.3. Wzorce projektowe.......................................................................................196
6.5.1. Oszacowanie ryzyka - metoda ilościowa (studium przypadku)................... 86 9.6. Ograniczenia procesu projektowania........................................................................197
6.5.2. Oszacowanie ryzyka - metoda jakościowa (wytyczne raportu 9.7. Dokumentowanie prac projektowych.......................................................................197
technicznego ISO/IEC TR 13335-3)............................................................. 91 Załącznik. Metodyka L-RAC analizy i kontrolowania ryzyka w zakresie
6.5.3. Szacowanie ryzyka - analiza bezpieczeństwa systemów sterowania........... 99 bezpieczeństwa teleinformatycznego.................................................................................. 201
6.6. Reakcja na ryzyko....................................................................................................102
6.6.1. Kontrolowanie ryzyka poprzez stosowanie zabezpieczeń.......................... 104 Literatura.......................................................................... 279
6.6.2. Akceptacja ryzyka szczątkowego................................................................ 109
6.6.3. Ryzyko akceptowalne i koszty postępowania z ryzykiem.......................... 111
Skorowidz........................................................................................................................... 285
6.7. Administrowanie ryzykiem......................................................................................115
6.7.1. Zadania, czynności i zakresy kompetencji - organizacja procesu
zarządzania ryzykiem................................................................................... 117
6.8. Podsumowanie rozważań o analizie ryzyka.............................................................122
Rozdział 7. O testowaniu i audycie....................................................................................... 125
7.1. Przegląd rodzajów badań.........................................................................................125
7.2. Ocena bezpieczeństwa teleinformatycznego............................................................127
7.3. Audyt........................................................................................................................129
7.4. Audyt i certyfikowanie SZB I.................................................................................. 142
Rozdział 8. O standardach......................................... 149
8.1. Common Criteria i norma ISO/IEC 15408............................................................. 151
8.2. COBIT™- standard ładu informatycznego...............................................................161
8.3. BS 7799 i norma PN-ISO/IEC 27001:2007: Technika informatyczna -
Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji -
Wymagania...............................................................................................................164
8.3.1. Zawartość normy PN-ISO/IEC 27001:2007: Technika informatyczna -
Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem
informacji - Wymagania...............................................................................166
8.3.2. System zarządzania bezpieczeństwem informacji (SZBI)............................169
8.3.3. Normatywny zbiór zabezpieczeń - załącznik A normy PN-ISO/IEC 27001173
Rozdział 9. O projektowaniu................................................................................................. 177
9.1. Cykl życia systemu bezpieczeństwa teleinformatycznego.......................................178
9.2. Zarządzanie projektowaniem i budową systemu bezpieczeństwa
teleinformatycznego.................................................................................................181
9.3. System bezpieczeństwa teleinformatycznego - koncepcja......................................183
9.3.1. Kompleksowość i dekompozycja.................................................................184
r
Rozdział 6
O ryzyku i zarządzaniu ryzykiem
„Są w życiu chwile, w których trzeba podjąć

ryzyko i dać się ponieść szaleństwu”
P a u lo C o e lh o
Termin „ryzyko”, podstawowy w niniejszym rozdziale, jest różnie, choć podob-

nie, definiowany. Na przykład „Nowy słownik języka polskiego” (PWN, Warszawa,
2003) określa ryzyko jako:
m o ż liw o ś ć n ie p o w o d z e n ia , s tr a ty ; ta k ie : d z ia ła n ie , k tó r e m o ż e p r z y n ie ś ć
ta k ie sk u tk i.
Czterotomowa „Encyklopedia powszechna” (PWN, Warszawa, 1987) określa ry-

zyko jako pojęcie z dziedziny prawa:
(...) w p r a w i e c y w iln y m n ie b e z p ie c z e ń s t w o p o w s ta n ia s z k o d y o b c i ą ż a -
j ą c e o s o b ę b e z p o ś r e d n io p o s z k o d o w a n ą , c h y b a ż e u m o w a lu b p r z e p i s
p r a w n y z o b o w i ą z u je in n ą o s o b ę d o w y r ó w n a n ia s z k o d y ( ...) ; s z c z e g ó l -
n ie n a z a s a d z i e r y z y k a o p ie r a s ię o d p o w ie d z ia l n o ś ć z a s z k o d y w y r z ą -
d z o n e w z w ią z k u z u ż y c ie m s i ł p r z y r o d y ( ...) W p r a w i e k a r n y m d z i a ła n ie
w g r a n ic a c h d o p u s z c z a ln e g o r y z y k a m o ż e s ta n o w ić u s ta w o w ą lu b p o z a -
u s ta w o w ą o k o l ic z n o ś ć w y łą c z a ją c ą o d p o w i e d z ia ln o ś ć k a r n ą s p r a w c y .
Według normy IEC 61508, wiążącej pojęcie ryzyka z pojęciem hazardu (por.
podrozdział 6.4.3):
(...) r y z y k o j e s t m ia r ą s to p n ia z a g r o ż e n ia , w y r a ż a j ą c ą z a r ó w n o s to p i e ń
s z k o d liw o ś c i h a z a r d u , j a k i p r a w d o p o d o b i e ń s tw o j e g o w y s tą p ie n ia .
Według normy PN-I-02000 [51] ryzyko to:

( ...) p r a w d o p o d o b i e ń s tw o , ż e o k r e ś lo n e z a g r o ż e n ie w y k o r z y s t a o k r e -
ś lo n ą p o d a t n o ś ć s y s te m u p r z e t w a r z a n i a d a n y c h .
70 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 71
a według normy PN-I-13335-1:1999 [52]: 6.1. Ryzyko a problemy decyzyjne*

(...) r y z y k o j e s t p r a w d o p o d o b ie ń s tw e m o k r e ś la ją c y m m o ż l i w o ś ć w y k o -
Przyjmijmy, że termin „doświadczenie” oznacza samoistnie zachodzący proces
r z y s ta n ia o k r e ś lo n e j p o d a t n o ś c i p r z e z d a n e z a g r o ż e n ie w c e lu s p o w o -
(np. atakowania systemów komputerowych w sieci Internet przez robaki internetowe)
d o w a n i a s tr a ty lu b z n is z c z e n ia z a s o b u lu b g r u p y z a s o b ó w , a p r z e z to
lub zastosowanie przez kogoś procedury, której realizacja daje jakiś wynik. Przyj-
n e g a t y w n e g o b e z p o ś r e d n ie g o lu b p o ś r e d n ie g o w p ły n ię c ia n a in s ty tu c ję
mijmy także, że wyniki te mogą być zmierzone, rozróżnione oraz zarejestrowane.
Słowo „ryzyko” ma zatem wiele odcieni znaczeniowych. W każdym z nich jed- Jeżeli czynniki wpływające na wynik są tak skomplikowane2, że nie można prze-
nak wiąże się z pojęciem straty, co jest zgodne również z intuicyjnym rozumieniem widzieć rezultatu3 na podstawie tego, co wiadomo o istniejących okolicznościach, to
tego terminu - tam, gdzie mamy do czynienia z zyskami, mówi się raczej o szansie, o doświadczeniu mówimy, że jest doświadczeniem losowym. Gdy wynik doświad-
a nie o ryzyku (jest program TV „Szansa na sukces”, a nie „Ryzyko sukcesu”, mówi- czenia losowego jest liczbą lub może być utożsamiany z liczbą, wówczas o wyniku
my o szansie wygrania w totolotka, a nie o ryzyku wygrania itp.)1. Dla potrzeb bezpie- liczbowym mówimy jako o zmiennej losowej.
czeństwa informacji definicję podaną w normie 1EC 61508 można przystosować
W długich ciągach powtórzeń doświadczenia losowego, gdy liczba powtórzeń
następująco:
rośnie nieograniczenie, częstość występowania konkretnego wyniku dąży do pewnej
granicy - prawdopodobieństwa konkretnego wyniku. Należy zwrócić uwagę, że
Definicja 6.1.
w rzeczywistych doświadczeniach z zakresu bezpieczeństwa teleinformatycznego
Termin „ryzyko” oznacza miarę stopnia zagrożenia dla tajności, integralno- warunek ten nie zostaje zachowany - liczba powtórzeń zwykle jest niewielka. Najczę-
ści i dostępności informacji, wyrażoną jako iloczyn prawdopodobieństw a ściej mamy do czynienia ze zjawiskami (zagrożeniami) rzadkimi. Przykłady: próba
(lub możliwości) wystąpienia sytuacji stwarzającej takie zagrożenie i stopnia eskalacji uprawnień w systemie przez legalnego użytkownika, zniszczenie ośrodka
szkodliwości jej skutków (strat). przetwarzania danych na skutek trzęsienia ziemi, próba fizycznej penetracji stref
•• • • bezpieczeństwa przez intruza. Poza tym, gdy jest mowa o powtórzeniach, zakłada się,
że zachodzą one w niezmienionym środowisku. Założenie to niekoniecznie w rzeczy-
Norma PN-ISO-13335 zawiera również wskazówki, od czego zależy wielkość wistości, a jej przecież dotyczą prowadzone w tej książce rozważania (nie tylko) o ry-
ryzyka: (...) r y z y k o j e s t f u n k c ją w a r t o ś c i z a s o b ó w o b ję ty c h r y z y k ie m , m o ż liw o ś c i zyku, musi być spełnione. Jeżeli przedział obserwacji wynosi np. rok, to w ciągu tego
w y s tą p ie n ia za g ro żeń , ł a tw o ś c i w y k o r z y s ta n i a p o d a tn o ś c i p r z e z z a g r o ż e n ia o ra z
roku mogą się zmienić:
(lub planowanych, gdy szacujemy ryzyko dla projektowanych systemów
is tn ie ją c y c h - struktury organizacyjne w organizacji poddawanej analizie;
bezpieczeństwa) z a b e z p ie c z e ń m o g ą c y c h z r e d u k o w a ć r y z y k o . - wyposażenie techniczne (komputery, oprogramowanie itp.);
W praktyce stosowane jest też często pojęcie „ryzyka operacyjnego”. Jest ono - poziom wyszkolenia pracowników.
szczególnie popularne w instytucjach typu finansowego, gdzie za Bazylejskim Komi-
tetem ds. Nadzoru Bankowego [60] przyjmuje się, że ryzyko operacyjne należy Nasuwa się natychmiast pytanie, czy w tych okolicznościach można mówić sen-
rozumieć jako ryzyko straty wynikającej z niedostosowania lub zawodności we- sownie o prawdopodobieństwie w wyżej podanym, formalnym znaczeniu?
wnętrznych procesów, ludzi i systemów technicznych lub ze zdarzeń zewnętrznych. Jeśli wynik jest zmienną losową X, prawdopodobieństwem tego, że X=Xj, jest
W zakres ryzyka operacyjnego wchodzi ryzyko prawne, natomiast wyłącza się z niego wartość graniczna stosunku liczby prób z wynikiem x, do całkowitej liczby prób.
ryzyko reputacji i strategiczne. Model matematyczny doświadczenia losowego składa się z listy możliwych wyników
doświadczenia wraz z odpowiadającymi im prawdopodobieństwami. W wypadku
zmiennej losowej X termin rozkład prawdopodobieństwa X służy do oznaczenia
2
Na przykład: ile systemów komputerowych w Internecie ma podatności, które mogą być
i
Należy jednak odnotować, że w analizie ryzyka w zastosowaniach finansowych operuje wykorzystane przez konkretnego robaka internetowego?
3
się zarówno zyskami, jak i stratami (por. także rozważania w rozdziale 6 .1). Na przykład liczba systemów komputerowych zainfekowanych w ciągu 24 godzin.
zbioru jej możliwych wartości xh x2, xn i odpowiadających im prawdopodobieństw Model probabilistyczny takiego zagrożenia:
Pi, P2, Pn-
X| 0 1
Przykład 6.1
Niech: będzie dane doświadczenie elementarne - obserwacja możliwości realizacji Pi 0,6 0.4
pojedynczego zagrożenia (np. próby ataku DoS typu P in g F lo o d ) dla konkretnego
systemu komputerowego (tj. badamy, czy przynajmniej raz w ciągu roku taki atak
miał miejsce). Wtedy: Wartością oczekiwaną zmiennej losowej X, mogącej przyjmować wartości Xi,
- wynik (zmienna losowa X): realizacja zagrożenia; ..., xk odpowiednio z prawdopodobieństwami p( pk, nazywamy średnią ważoną tych
wartości, z prawdopodobieństwami jako wagami:
- wartość wyniku jest liczbą ze zbioru dwuelementowego {(), 1} ;
- wartościom liczbowym nadajemy następującą interpretację: E(X) = Xip1+x2p2+ ... +xkpk
Xi = 1 zagrożenie zrealizowane Wynikiem eksperymentu statystycznego (dalej oznaczanego przez Z) będziemy
x2= 0 zagrożenie niezrealizowane nazywali wyniki wykonania jednej lub wielu obserwacji pewnej wielkości losowej,
o której sądzi się, że w pewnym problemie decyzyjnym ma istotne związki wewnętrz-
ne z tzw. stanem przyrody. Jeżeli stan ten jest znany, to wybór właściwego działania
Z przytoczonego przykładu wynika, że w praktyce analizy ryzyka na potrzeby (decyzja) jest zwykle rzeczą prostą. W praktyce najczęściej będziemy mieli do czy-
bezpieczeństwa teleinformatycznego często będzie interesujące tylko to, czy wynik nienia z podejmowaniem decyzji przy niepełnej znajomości stanu przyrody. Zakłada
końcowy ma pewną cechę (przypisujemy mu wtedy wartość 1), czy też jej nie ma się zwykle, że następstwa działań (czyli również decyzji) mogą być mierzone na skali
(przypisujemy mu wtedy wartość 0). Wynik jest wtedy zmienną losową X o dwu liczbowej. Miarą następstw jest tzw. użyteczność, będąca zwykle także podstawą
wartościach możliwych [0, 1] i rozkładzie prawdopodobieństwa określonym przez wyboru decyzji. Jeżeli w trakcie procesu decyzyjnego wolno nam wykonywać pewne
podanie wartości p. Taka zmienna losowa jest nazywana zmienną Bernoullego (albo doświadczenia losowe, których wyniki są związane ze stanem przyrody, to mamy do
zmienną zerojedynkową). We wspomnianej praktyce zbieranie danych (pobieranie czynienia ze statystycznym procesem decyzyjnym, a wyniki takich doświadczeń
„próbek”) przebiega według schematu Bernoullego - informacja o wynikach pew- losowych nazywamy obserwacjami. W obszarze bezpieczeństwa teleinformatycznego
nych prób nie zmienia szans uzyskania wyników w innych próbach. O takich do- takimi doświadczeniami losowymi są np. badania przeprowadzane w ramach audytów
świadczeniach (w praktyce - obserwacjach) mówi się, że są niezależne. bezpieczeństwa teleinformatycznego (por. rozdział 7.3).
Składowymi problemu decyzyjnego są więc [22]:
Przykład 6.2
- zbiór dopuszczalnych stanów przyrody,
Jeżeli obserwacje pewnego zagrożenia prowadzimy przez długi okres (np. 10 lat, tj.
- zbiór dostępnych działań,
liczba prób=10), to:
- straty związane ze wszystkimi kombinacjami stanu przyrody i działania.
P(X=x,) = p
P(X=x2) = 1-p Precyzując, można powiedzieć, że elementami określającymi problem decyzyj-
Przyjmijmy, że dla dla obserwacji dziesięcioletniej uzyskano następujące wyniki: ny bez obserwacji są:
zbiór © stanów przyrody 0 (np. system komputerowy osadzony w konkretnym
Rok 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 środowisku, z konkretnym stanem ochrony),
X 1 0 0 0 1 0 0 1 1 0 - zbiór A dostępnych działań a (np. wszystkie możliwe przeciwdziałania zagroże-
niom),
- funkcja strat 1(0,a), której wartość reprezentują straty wywołane podjęciem
działania a przy stanie przyrody 0.
Biorąc pod uwagę jedynie powyższe składowe, rozwiązujemy problem wyboru otrzymuje się następujące wyrażenie dla funkcji ryzyka:
najlepszego działania, nazywany problemem decyzyjnym bez obserwacji. Dołączenie
kolejnej składowej: R(0, d) = X 1(6, d(Zi)) Pe (Z=Zi)
i
- spostrzeżeń doświadczalnych (obserwacji) dotyczących stanu przyrody, Zapis ten można zinterpretować następująco:
daje nam ogólny statystyczny problem decyzyjny, tj. problem znalezienia najlepsze-
go działania na podstawie obserwacji, gdy struktura strat jest znana, a stan przyrody ryzyko = strata x prawdopodobieństwo zdarzenia przynoszącego stratę
nieznany. W to ryzyko jest włączona decyzja, której nie podejmuje obserwator - osoba prowa-
Należy wyjaśnić, że działania lub zaniechanie działań (podejmowane w wyniku dząca analizę ryzyka, zbierając informacje o zagrożeniach, podatnościach i prawdopo-
podjęcia określonej decyzji), wykonywane w ramach analizy ryzyka i ochrony infor- dobieństwie wykorzystania podatności przez zagrożenie. Chyba że ta decyzja będzie
macji w systemach teleinformatycznych będą zmniejszały potencjalne straty. Od interpretowana jako: decyzja, która kiedyś została podjęta przy budowie obserwowa-
strony formalnej natomiast przyjmuje się zwykle, że efektem decyzji jest strata, nego systemu komputerowego i która dotyczyła zastosowanych mechanizmów
i minimalizuje się ją. ochronnych.
W analizie ryzyka na potrzeby bezpieczeństwa teleinformatycznego przyjmuje Oznacza to, że przy oszacowaniach ryzyka na potrzeby bezpieczeństwa telein-
się, że dysponujemy obserwacjami Z dotyczącymi prawdopodobieństwa realizacji formatycznego mamy do czynienia z oceną funkcji a. Istotne problemy decyzyjne
zagrożeń. Szczegóły dotyczące uzyskiwania takich danych są opisane w rozdziale 6.4. związane ze zmianą wartości ryzyka pojawiają się w drugiej części procesu zarządza-
Można zatem stwierdzić, że problem decyzyjny, który należy rozwiązać w tym wy- nia ryzykiem, gdy podejmujemy decyzje o sposobach redukcji ryzyka (por. rozdział
padku, jest problemem rozwiązywanym z użyciem obserwacji, czyli że istnieje 6.5), np. zastosowaniu takich, a nie innych zabezpieczeń w celu zminimalizowania
reguła (zbiór wskazówek, procedura), która każdej możliwej wartości obserwacji ze Z ryzyka.
przypisuje jedno z dostępnych działań (dokładniej - przeciwdziałań, np. w postaci Wartość funkcji ryzyka można więc wyliczyć jako średnią ważoną różnych war-
zabezpieczeń, por. też rozdział 6.5 o redukcji ryzyka). tości strat losowych. Minimaksową funkcją decyzyjną jest ta funkcja, dla której mak-
Zatem po przeprowadzeniu stosownego doświadczenia losowego (obserwacji) symalne ryzyko jest najmniejsze. W wypadku stosowania podejścia minimaksowego
i uzyskaniu wartości Z, np. Z=z, (o interpretacji np. w y k r y to r o b a k a in t e r n e t o w e g o wynik rozwiązania problemu decyzyjnego może zależeć od tego, czy za kryterium
w s y s te m i e ) wartości tej przypisane już jest przez regułę odpowiednie działanie a (np. przyjęto straty, czy szkody. Są dwa sposoby (dające ten sam wynik) wprowadzenia
ś c ią g n ij n a j n o w s z e s y g n a tu r y , u ru c h o m p r o g r a m a n ty w ir u s o w y ) . Reguła ta jest funk- pojęcia szkody:
cją cc=d(z), nazywaną funkcją decyzyjną. - przez odniesienie jej do pierwotnej funkcji strat,
Strata ponoszona w wyniku działania wyznaczonego przez daną funkcję decy- - przez odniesienie jej do funkcji ryzyka, czyli oczekiwanej wartości strat.
zyjną d(z) zależy nie tylko od aktualnego stanu przyrody, lecz również od obserwo-
wanej wartości Z (np. częstości skutecznych ataków robaka internetowego na obser- Funkcja szkód (zaniechania optymalizacji) jest zdefiniowana następująco:
wowany system). Traktuje się ją jako zmienną losową, więc ponoszona strata 1(0, d(Z))
r(0,aj) = 1(0, aj) - min 1(0,a)
jest też zmienną losową. Wielkością reprezentującą straty losowe w podejmowaniu a
decyzji jest wartość oczekiwana strat:
Oznacza to, że dla każdego stanu przyrody szkodę wyznacza się, odejmując
R(0,d) = E[1(0, d(Z))] stratę minimalną od straty związanej z danym stanem (z czym mamy do czynienia,
gdy decydent nie bierze pod uwagę stanu przyrody i nie wybiera działania dającego
Wielkość ta, zależna od stanu przyrody 0 i od użytej reguły decyzyjnej d, nazy-
minimum strat). Gdy na problem spojrzy się ze strony zysków, to nazywa się go też
wana jest funkcją ryzyka. Przyjmując dla Z dyskretny rozkład prawdopodobieństwa
stratą sposobności.
określony przez:
Można dowieść [22], że wartość oczekiwana szkody jest równa:
Pe (Z=z) - f(z, 0)
E[r(0, d(z))] = R(0, d) - min R(0, d)
d
Przyjmując podaną w rozdziale 1.3 definicję 1.4 systemu bezpieczeństwa dla sys- Można chyba stwierdzić, że obecnie mamy do czynienia ze swoistą modą na wi-
temu teleinformatycznego, wykorzystaną następnie do zdefiniowania (definicja 1.9) dzenie wszystkich aspektów działalności biznesowej firmy przez pryzmat ryzyka5. Ma
mierzalnego stanu ochrony (czyli w kontekście rozważań tego rozdziału - stanu przy- to przełożenie również na problematykę bezpieczeństwa teleinformatycznego, nie-
rody), otrzymujemy możliwe działania związane z STOt, mające wpływ na poziom zmiernie istotną we współczesnych, wysoko zinformatyzowanych firmach.
ryzyka: Dobrym przykładem6 uzasadniającym to stwierdzenie jest np. treść normy [56]
- w zakresie kontroli ryzyka (por. rozdział 6.6.1) - dobór, instalacja i konfiguracja (dokładniejszy opis zamieszczono w rozdziale 8.3). Norma została przygotowana dla
zabezpieczeń BT (czyli działania w zakresie budowy, głównie części technicznej, kierownictw przedsiębiorstw oraz ich personelu w celu przedstawienia modelu oraz
systemu ochrony); ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymywania i do-
- w zakresie transferu ryzyka (por. rozdział 6.6) - usunięcie obiektu ze zbioru 0 T skonalenia systemu zarządzenia bezpieczeństwem informacji (dalej w skrócie SZBI,
i - co się z tym wiąże - podatności związanych z tym obiektem ze zbioru RT. jako tłumaczenie angielskiego ISMS - Information Security Management System).
Do podstawowych elementów takiego modelu należą (podajemy za normą):
Z punktu widzenia osób zajmujących się bezpieczeństwem teleinformatycznym, system zarządzania bezpieczeństwem informacji (SZBI):
tylko pierwsze z wymienionych działań leży zwykle w ich kompetencjach. Decyzje to część całościowego systemu zarządzania, oparta na podejściu wynikającym
dotyczące pozostałych możliwości minimalizacji ryzyka (unikania, transferu i retencji) z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji,
są zwykle poza kompetencjami tych osób i należą do zarządu firmy lub firmowych monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. SZBI
menedżerów ryzyka. Nie oznacza to, oczywiście, że osoby związane z zapewnianiem obejmuje strukturę organizacyjną, polityki, działania planistyczne, zakresy od-
bezpieczeństwa teleinformatycznego są całkowicie odsunięte od takich procesów powiedzialności, praktyki, procedury, procesy i zasoby.
decyzyjnych - wręcz przeciwnie, ich opinia o możliwości wdrożenia i skutkach pod-
deklaracja stosowania (ang. s ta te m e n t o f a p p lic a b ility )'.
jętych decyzji powinna być starannie rozważona przez decydentów.
dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia,
które odnoszą się i mają zastosowanie w SZBI danej organizacji, oparte na rezulta-
6.2. Charakterystyka procesu zarządzania ryzykiem tach i wnioskach wynikających z procesów szacowania i postępowania z ryzykiem.
Zarządzanie ryzykiem to systematyczne stosowanie polityki, procedur i praktyki Jak można zauważyć, kluczowym elementem proponowanego w normie modelu
zarządzania do ustalania kontekstu ryzyka, jego identyfikowania, analizowania, wy- jest zarządzanie ryzykiem. W załączniku zamieszczono opis metodyki analizy i kon-
znaczania, postępowania z ryzykiem oraz monitorowania i komunikowania ryzyka troli ryzyka L-RAC, zawierający wyciąg z normy, punktujący te jej fragmenty, w któ-
(definicja za PN-IEC 62198 [59]). Zagadnienia zarządzania ryzykiem nabierają coraz rych jest mowa o ryzyku i zarządzaniu ryzykiem. Gdy mowa o analizie ryzyka w kon-
większego znaczenia w działalności biznesowej firm na całym świecie, czego przy- tekście bezpieczeństwa teleinformatycznego, należy mieć na uwadze m.in. jej związki
kładem jest pojawienie się nowej specjalności zawodowej „menedżer ryzyka” oraz z analizą ryzyka biznesowego firmy oraz zależności między osobami uwikłanymi
różnego rodzaju stowarzyszeń tej grupy zawodowej (por. źródła internetowe zamiesz- w ocenę (i zarządzanie) ryzyka biznesowego firmy i ryzyka związanego z bezpieczeń-
czone na końcu niniejszego opracowania). Również w Polsce zostało powołane przez stwem informacji przetwarzanych, przesyłanych i przechowywanych w firmowych
prezydenta PKPP (Polskiej Konfederacji Pracodawców Prywatnych) Lewiatan w dniu systemach teleinformatycznych, a także zakresy odpowiedzialności tych osób.
5 września 2005 r. Forum Menedżerów Ryzyka. Jego celem jest upowszechnienia Dla menedżera zajmującego się ryzykiem biznesowym ryzyko związane z prze-
problematyki zarządzania ryzykiem wśród członków PKPP Lewiatan i wypracowanie twarzaniem informacji w firmowych systemach teleinformatycznych będzie tylko
wspólnego profesjonalnego podejścia do zarządzania ryzykiem oraz stworzenie naj-
lepszych praktyk na rynku polskim na podstawie międzynarodowych standardów4.
Obecną modę na ryzyko poprzedziła moda z przełomu XX/XXI wieku na „widzenie”
działalności biznesowej firmy przez pryzmat procesów biznesowych - przykładem są
chociażby zmiany zachodzące w kolejnych wydaniach serii norm z zakresu jakości, tj.
ISO/IEC 9000.
13 października 2005 roku Rada Główna PKPP Lewiatan podjęła uchwałę o przystąpie- Innym przykładem są zalecenia standardu COBIT, gdzie w domenie „Planowanie i orga-
niu do Federation of European Risk Management Associations (FERMA). nizacja” proces P09 to „szacowanie ryzyka”.
jednym z wielu mogących mieć wpływ na osiąganie celów biznesowych firmy. Dla
osoby odpowiedzialnej za bezpieczeństwo teleinformatyczne7 i zwykle będącej tzw. ZARZĄDZANIE RYZYKIEM
właścicielem ryzyka IT w kontekście całościowego ryzyka biznesowego, to „ryzyko i------------------------------------------------
IT” jest jedyne i najważniejsze, ponieważ ma wpływ na skuteczne zarządzanie bez- Identyfikacja:
pieczeństwem teleinformatycznym (co jest podstawowym zadaniem takiej osoby). - zakresu analizy ryzyka
Dalsze rozważania w niniejszym rozdziale dotyczą przede wszystkim tej części - zagrożeń
zarządzania ryzykiem biznesowym, która jest związana z przetwarzaniem informacji - podatności
w firmowych systemach IT. Rzetelne potraktowanie tematyki wymaga jednak przed- - potencjalnych strat
stawienia analizy ryzyka na potrzeby bezpieczeństwa teleinformatycznego w szerszym
kontekście biznesowej analizy ryzyka
Oszacowanie ryzyka
Zarządzanie ryzykiem (na potrzeby bezpieczeństwa teleinformatycznego) ma na
celu:
- wykazanie, którego ryzyka i jak można uniknąć, stosując rozwiązania organiza- Ocena ryzyka
cyjne i techniczne w zakresie przetwarzania, przesyłania i przechowywania in-
formacji w firmowych systemach IT;
- zapewnienie optymalnego, ze względu na koszty i znane/zadane ograniczenia, Opracowanie zasad postępowania
stanu ochrony powyższych informacji; z ryzykiem w zakresie jego:
zminimalizowanie ryzyka szczątkowego tak, aby stało się akceptowalne. - unikania
- kontrolowania
Uznane standardy zarządzania ryzykiem - brytyjski Risk Management Standard - transferu
promowany przez FERMA (Federation of European Risk Management Associations) - retencji
oraz australijski AS/NZS 4360 - są zgodne co do wyodrębnienia, przedstawionych na
rysunku 6.1, podstawowych elementów zarządzania ryzykiem. Te ogólne elementy
zostaną uszczegółowione (w kontekście ryzyka związanego z przetwarzaniem infor- Akceptacja ryzyka szczątkowego
macji w firmowych systemach IT) w kolejnych rozdziałach. Szczególna uwaga w za-
kresie postępowania z ryzykiem będzie zwrócona na jego kontrolowanie, ponieważ
Rysunek 6.1. Podstawowe elementy procesu zarządzania ryzykiem
należy ono do rutynowych zadań personelu technicznego działów IT (administrato-
rów) i osób odpowiedzialnych za bezpieczeństwo teleinformatyczne.
określonych zagrożeń w sposób strukturalny i pozwalający na ich porównanie. Ana-
liza ryzyka prezentowana w niniejszej książce jest wariantem ogólnej analizy ryzyka.
6.3. Analiza ryzyka - identyfikacja zagrożeń, W celu utrzymania zadanego stanu bezpieczeństwa teleinformatycznego, na któ-
podatności i środowiska ry mają wpływ zmiany zagrożeń oraz zmiany organizacyjne w firmie i sprzętowo-
programowe w eksploatowanych systemach teleinformatycznych, zaleca się systema-
Pokazane na rysunku 6.1 czynności identyfikacji (środowiska, zagrożeń, podat- tyczne przeprowadzanie analizy ryzyka - jej wyniki stanowią podstawę do ewentual-
ności, potencjalnych strat) oraz oszacowania i oceny ryzyka nazywa się zwykle ana- nych działań modyfikujących system ochrony.
lizą ryzyka (ang. r is k a n a ly s i s ) . Wynikiem rozpoznania zagrożeń i środowiska Wstępną czynnością w analizie ryzyka jest identyfikacja zagrożeń i podatności.
(podatności i wymagań) powinno być opisanie ryzyka, tzn. przedstawienie cech Zidentyfikowane zagrożenia sugeruje się sklasyfikować, z biznesowego punktu wi-
dzenia, w następujące grupy [31J:
Na przykład pełnomocnika ds. bezpieczeństwa lub administratora bezpieczeństwa telein- - strategiczne (wpływające na długoterminowe cele firmy),
formatycznego. - operacyjne (wpływające na codzienne funkcjonowanie firmy),
- finansowe (związane z bezpośrednimi działaniami finansowymi i kapitałem firmy), 6.4. Identyfikacja wymagań dotyczących poziomu
- informacyjne (wpływające na bezpieczeństwo firmowych zbiorów informacji), ochrony
- zgodności (wpływające na utrzymywanie zgodności z obowiązującymi regula-
cjami prawnymi). Określenie pożądanego poziomu ochrony jest konieczne w procesie analizy ry-
zyka do:
Można też, jako kryterium klasyfikacji, przyjąć ich związek z konkretną fir- ustalenia wymaganych środków ochronnych (zabezpieczeń),
mą/organizacją. W takim wypadku zwykle wyróżnia się:
podjęcia decyzji o akceptacji ryzyka szczątkowego.
1. Zagrożenia niewymagające wiedzy z danej dziedziny (tj. związanej z konkretną
firmą/organizacją), np.: Wymagany poziom ochrony powinien być określony w „Polityce bezpieczeństwa
- zagrożenia katastrofami naturalnymi (pożar, powódź itp.), teleinformatycznego” (jeśli taki dokument w firmie istnieje, szczegóły por. np. [15]
- zagrożenia typu „zatrzymanie działalności” (ang. b u s in e s s in te r r u p tio n , BI). lub rozdział 1 w [16]) i odnosić się do kluczowych procesów biznesowych oraz zwią-
zanych z nimi zasobów informacyjnych. Pożądane poziomy ochrony określają zwykle
2. Zagrożenia wymagające wiedzy z danej dziedziny (tj. związanej z konkretną
członkowie zarządu firmy, wspomagani przez właścicieli zasobów.
firmą /organizacją), np.:
Przesłanki do określenia poziomu ochrony zasobów informacyjnych firmy prze-
- utrata kluczowych pracowników,
twarzanych, przesyłanych i przechowywanych w systemach teleinformatycznych to:
- utrata kluczowego klienta,
1. Potencjalne skutki błędów w ochronie informacji i dostępności usług świadczo-
- utrata reputacji, nych przez systemy teleinformatyczne. W tym wypadku wymagane poziomy
- awaria systemów IT. można określić wstępnie na przykład według następującej skali:
- bardzo wysoki - gdy błędy w ochronie informacji konkretnych systemów te-
W wypadku identyfikacji zagrożeń na potrzeby bezpieczeństwa teleinformatycz-
leinformatycznych prowadzą do całkowitego załamania działalności bizneso-
nego można przyjąć przedstawioną w rozdziale 4 klasyfikację zagrożeń jako podstawę
wej firmy lub mają szerokie niekorzystne skutki społeczne albo gospodarcze;
do ich szczegółowej identyfikacji i opisania.
- wysoki - gdy błędy w ochronie informacji konkretnych systemów teleinfor-
W wypadku rozpoznawania środowiska analizy ryzyka na potrzeby bezpieczeń-
matycznych naruszają zdolność do działania centralnych organów firmy,
stwa teleinformatycznego istotna jest także identyfikacja podatności jako podstawa
a szkody z tego wynikłe dotyczą samej firmy i podmiotów trzecich;
przyszłych działań w zakresie minimalizacji ryzyka. Przegląd i klasyfikacja podatno-
ści zostały przedstawione w rozdziale 4.3. - średni - gdy błędy w ochronie informacji konkretnych systemów teleinfor-
matycznych szkodzą tylko firmie;
Przedstawione klasyfikacje uszczegółowiają i pokazują zakres objęty nadzorem
i działaniami osób odpowiedzialnych w firmie za bezpieczeństwo teleinformatyczne. - niski - gdy błędy w ochronie informacji konkretnych systemów teleinforma-
Pokazują także, jakie elementy powinny zostać uwzględnione w wypadku analizy tycznych przynoszą firmie tylko niewielkie szkody.
ryzyka na potrzeby bezpieczeństwa teleinformatycznego. Zwykle źródłem informacji 2. Cele, które kierownictwo firmy chce osiągnąć dzięki wdrożonym środkom
na temat zagrożeń i wywoływanych przez nie szkód jest analiza szkód własnych ochronnym i systemowi zarządzania bezpieczeństwem informacji, np.:
i znanych na rynku. Może polegać na przeglądzie i kompilacji własnych (firmowych) - zapewnienie dobrej marki firmy na rynku;
baz danych i raportów na temat szkód, a także przeglądzie dostępnych archiwów firmy - zabezpieczenie ciągłości pracy w firmie/organizacji;
oraz np. materiałów prasowych pod kątem określonych zdarzeń u konkurentów.
- zapewnienie realizacji przepisów prawnych, np. o ochronie tajemnicy pań-
Dobrym źródłem informacji są też analizy szkód prowadzone przez ubezpieczyciela.
stwowej lub danych osobowych;
Inne wskazówki metodyczne związane z opisem środowiska analizy ryzyka (w tym
procesów kluczowych i krytycznych) są zawarte w rozdziale 2. - zagwarantowanie niezawodności procesów handlowych w aspekcie termino-
wości (dostępność informacji), dokładności (integralność informacji) oraz ich
poufności.
W wypadku zasobów informacyjnych pożądane poziomy ochrony powinny być i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy infor-
przyporządkowane do każdego z podstawowych atrybutów bezpieczeństwa informa- matyczne służące do przetwarzania danych osobowych, Dz. U. z 2004 r. Nr
cji: tajności, integralności i dostępności, co ilustruje tabela 6.1. 100, poz. 1024).
Tabela 6.1. Określanie poziomu ochrony (przykład) Miary takie są często zawarte w sformułowaniach umów, np.: „(...) wykonać sys-
tem zabezpieczeń gwarantujący dostępność usług, świadczonych przez firmę w Inter-
necie, na poziomie 99,999%”.
Nr Nazwa i rodzaj Atrybuty Poziom Uzasadnienie
zasobu informacji ochrony
1 Dane osobowe tajność wysoki Dane osobowe zgodnie z obowiązującymi

6.5. Analiza ryzyka - szacowanie ryzyka
klientów przepisami prawnymi podlegają ścisłej
ochronie. Szacowanie ryzyka polega na określeniu możliwości realizacji zagrożeń (do tego
integralność średni Błędy zostają szybko rozpoznane potrzebna jest m.in. znajomość podatności) oraz potencjalnych strat. Oszacowanie
i mogą być łatwo korygowane. takie uwzględnia dwa podstawowe parametry: możliwość lub prawdopodobieństwo
dostępność średni Niedostępność danych komputerowych do realizacji zagrożenia i skutki finansowe tego zdarzenia. W oszacowaniach ryzyka
72 godzin może być łatwo zastąpiona wybór sprowadza się w zasadzie do dwóch metod:
papierową bazą dokumentacyjną. 1. Metody ilościowej analizy ryzyka (por. np. [15], [18]), gdzie operuje się miarą
2 Dane tajność średni Przetwarzane są dane, które mają zdarzenia losowego - prawdopodobieństwem wyrażonym liczbą z przedziału [0,1].
administracyjne najwyżej klauzulę tajności „do użytku 2. Metody jakościowej analizy ryzyka (por. np. [15], [19]), gdzie operuje się opiso-
własne wewnętrznego”. wymi, arbitralnie dobieranymi miarami wyrażającymi możliwość zajścia zdarzenia.
integralność średni Szkody wynikłe z zafałszowania danych
nie przekraczają zwykle 50 tysięcy zł. Najczęściej wyniki oszacowania ryzyka przybierają formę wykresu lub tabeli8.
dostępność średni Przez okres do jednego tygodnia jest Zaletą takiej formy jest obrazowe pokazanie wzajemnego usytuowania różnych ryzyk
możliwe korzystanie z dokumentów oraz ich istotności, co stanowi podstawę do podejmowania decyzji o postępowaniu
papierowych. z ryzykiem. Na rysunku 6.2 jest pokazana przykładowa, podstawowa, czteropolowa
... . ....
matryca ryzyka wraz z interpretacją poszczególnych pól. W praktyce (por. rys. 6.6)
.... ....
pola zwykle nie będą równe; poza tym, gdy oszacowania mają być bardziej precyzyj-
ne, stosowane są matryce o większej liczbie pól, np. szesnastopolowe.
Wśród miar pożądanego poziomu ochrony można wyróżnić: Mapy ryzyka mogą pomóc [31] nie tylko w trafnej identyfikacja ryzyka, ale tak-
1. Miary sformalizowane, podane w normach lub standardach, np. poziomy uza- że w odpowiednim określeniu profilu ryzyka i właściwym dostosowaniu mechani-
sadnionego zaufania EAL w normie PN-ISO/IEC-15408:3. zmów zarządzania nim. Korzystając z mapy ryzyka, poszczególne kategorie ryzyka
2. Miary nieformalne, wynikające z konkretnych uwarunkowań działalności firmy, operacyjnego przyporządkowuje się pionom operacyjnym, funkcjom organizacyjnym
związane na przykład z wymaganym poziomem dostępności usług systemów te- i procesom. Mapa ryzyka umożliwia poza tym ujawnienie podatności oraz nadanie
leinformatycznych. Przykładem takiej miary mogą być: priorytetu dalszym działaniom zarządczym9.
- maksymalny dopuszczalny czas zatrzymania kluczowych procesów biznesowych;
- klasa tajności przetwarzanej informacji; Używane jest różne nazewnictwo: mapa ryzyka, matryca ryzyka, model ryzyka, profil
ryzyka.
- sformułowania typu: „zapewnić zgodność działania systemów teleinformatycz-
Zmiany administracyjno-organizacyjne i technologiczne oraz wprowadzanie nowych
nych z wymaganiami ustawy o ochronie danych osobowych i rozporządzenia produktów i using powinny być uwzględniane w procesie zarządzania ryzykiem opera-
MSWiA z dnia 29 kwietnia 2004 r. (chodzi o rozporządzenie w sprawie do- cyjnym przed ich formalnym zatwierdzeniem i wprowadzeniem, a ryzyko operacyjne,
kumentacji przetwarzania danych osobowych oraz warunków technicznych które może być z nimi związane, powinno podlegać odpowiednim procedurom oceny.
Analizy przeprowadzane podczas identyfikacji zagrożeń pozwalają zwykle na

dobre opisanie ryzyka. Polega ono na podaniu następujących, podstawowych parame- Wysokie szkody w razie Wysokie szkody w razie
trów ryzyka (por. także definicję 6.1): realizacji zagrożenia i niska realizacji zagrożenia i wysoka
możliwość jego realizacji możliwość jego realizacji
- maksymalnego skutku pieniężnego realizacji zagrożenia (dalej oznaczanego jako
PML10), (średnie ryzyko) (wysokie ryzyko)
- prawdopodobieństwa realizacji zagrożenia;

oraz zwykle dwóch parametrów dodatkowych: Niskie szkody w razie realizacji Niskie szkody w razie realizacji
- okoliczności, w jakich może dojść do realizacji zagrożenia, zagrożenia i niska możliwość zagrożenia i wysoka możliwość
jego realizacji jego realizacji
- potencjału zagrożenia (do oddziaływania szerszego niż w bezpośredniej lokaliza-
(niskie ryzyko) (średnie ryzyko)
cji zdarzenia oraz dłuższego niż bezpośrednio po zdarzeniu).
Przy analizie kombinacji zdarzeń dających różne wielkości PML przyjmuje się
najczęściej „czarny scenariusz”, tj. wielkości praktycznie najbardziej niekorzystne dla
Niska Wysoka
firmy". Wariantem analizy jakościowej jest dość często stosowane w analizie ryzyka
możliwość realizacji zagrożenia
oszacowanie częstościowe, gdzie podaje się oczekiwaną liczbę badanych zdarzeń
w pewnym okresie (np. roku). Rysunek 6.2. Mapa ryzyka - przykład
Przykład 6.3
żonym liczbą z przedziału [0,1] - a zastosowanym w przykładzie 6.3 podejściem czy-
Niech możliwość całkowitego spalenia serwerowni (zagrożenie) wynosi raz na 20 lat stościowym, nazywanym także potocznie „prawdopodobieństwem”.
(tj. 1:20), a poniesione w takim wypadku całkowite straty12 niech wynoszą 100 tys. zł.
Metoda ilościowa oznacza, że prawdopodobieństwo interesującego zdarzenia
Niech możliwość kradzieży służbowego laptopa (zagrożenie) o wartości 10 tys. zł wy- wyliczane jest na podstawie danych statystycznych, tzn. obserwuje się dany obiekt
nosi raz na 2 lata (tj. 1:2). W obu wypadkach wartości ryzyka będą identyczne: (np. laptop) przez zadany okres (np. 2 lata) i w tym czasie odnotowuje się, ile razy
Ryzyko (serwerownia) = 100 000x 1/20 = 5 000 nastąpiło określone zdarzenie (np. próba kradzieży), licząc zarówno próby nieudane,
Ryzyko (laptop) = 10 000x 1/2 = 5 000 jak i udane. Prawdopodobieństwo 0,1 w tym wypadku może oznaczać, że w ciągu
2 lat nastąpiło 10 prób kradzieży, z których tylko jedna się powiodła.
W wypadku podejścia czystościowego wiemy tylko tyle, że powiodła się jedna
W tym przykładzie widać wyraźnie, że „ryzyko” i „zagrożenie” (lub precyzyj- próba kradzieży w ciągu 2 lat. Widać wyraźnie, że różna jest użyteczność „informa-
niej: możliwość realizacji zagrożenia) to nie to samo. Niestety, terminy „ryzyko” cyjna” obu podejść - w drugim wypadku nie ma żadnych przesłanek pozwalających
i „możliwość realizacji zagrożenia” często są stosowane zamiennie, co może prowa- wnioskować np. o sile systemu ochrony laptopa przed kradzieżą ani o liczbie obser-
dzić (i często prowadzi) do nieporozumień i błędów w oszacowaniach. wowanych zdarzeń w zadanym przedziale czasu. Używane tutaj „prawdopodo-
Warto w tym miejscu zastanowić się także nad różnicami między podejściem ilo- bieństwo” jest odwrotnością liczby lat oddzielających jedno zdarzenie od drugiego.
ściowym, gdzie operuje się miarą zdarzenia losowego - prawdopodobieństwem wyra- W praktyce zdarzeniom następującym więcej niż raz w roku przypisuje się „prawdo-
podobieństwo” równe 1, a wartość PML ustala na poziomie sumy strat z całego roku.
Oszacowanie częstościowe jest często stosowane, co wynika głównie z braku da-
czyli maksymalna możliwa strata, stosowany zwykle w wypad-
P o ss ib le m ak sim um loss, nych empirycznych zbieranych w sposób wcześniej wzmiankowany. Zwykle dostępne
ku katastrof (pożar, powódź, trzęsienie ziemi itd.) oraz zdarzeń typu BI. są zapisy (w aktach, dziennikach eksploatacji, prasie itp.), że pewne wydarzenie nastą-
Istotna jest umiejętność oceny, który czarny scenariusz jest jeszcze realny, a który już nie. piło. Poza tym z biznesowego (ale nie technicznego) punktu widzenia istotny jest okre-
Odrębnym zagadnieniem jest liczenie strat, które w tym wypadku muszą uwzględniać nie ślony skutek, a nie przyczyny - nie musimy się zajmować tym, czy przyczyną np. utraty
tylko wartość fakturową spalonego wyposażenia, ale także np. koszty odtworzenia dzia- tajności informacji był atak zdalny, atak wewnętrzny czy błędy w organizacji pracy.
łania systemów teleinformatycznych (w tym koszty utraty informacji).
W tym kontekście ryzyko można interpretować tak: jest to liczba wyrażająca

maksymalny skutek (szkody) rozłożony na liczbę lat związaną z częstością realizacji
danego zagrożenia. Jest to zatem wskaźnik amortyzacji całej spodziewanej szkody na
wszystkie lata między jednym takim wydarzeniem a kolejnym.
Na etapie oceny ryzyka (ang. r is k e v a lu a tio n ) określa się istotność (w sensie
ważności dla działalności biznesowej firmy) ryzyk i - w konsekwencji - kto podej-
muje decyzje o reakcji na ryzyko (np. zarząd, dyrektor departamentu lub oddziału
regionalnego, kierownicy zespołów operacyjnych). Poszczególnym ryzykom nadaje
się również priorytety na skali ważności i pilności potrzeby takiej reakcji.
6.5.1. Oszacowanie ryzyka - metoda ilościowa (studium przypadku)

Analiza ryzyka dotyczy zwykle zdarzeń, których częstość występowania nie jest
określona ani bezpośrednio wyznaczalna na odpowiednim poziomie ufności
(najczęściej są to tzw. zdarzenia rzadkie). Z tego powodu w ocenie ryzyka używa się
metod modelowania przystosowanych do szacowania małych prawdopodobieństw -
drzew zdarzeń i drzew błędów. W każdej z tych metod modelowania zdarzenie zło-
żone rozkłada się na mniejsze (prostsze) części, które po starannej analizie łączy się
ponownie, uzyskując lepsze zrozumienie całego zdarzenia oraz możliwość określenia
występujących w nim prawdopodobieństw zdarzeń składowych (poprzez wyznaczanie
prawdopodobieństw cząstkowych - niezbędne jest w tym celu dysponowanie prawdo-
podobieństwami zdarzeń elementarnych, tj. takich, które nie są już dalej rozkładane).
Drzewo zdarzeń jest graficznym modelem zależności przyczynowo-skutkowych
występujących w rozpatrywanym problemie. Tworząc drzewo zdarzeń, zakłada się, że
określony skutek jest wynikiem pewnego ciągu zdarzeń. Drzewo zdarzeń rozpoczyna
się zatem pewnym zdarzeniem inicjującym i przedstawia wszystkie możliwe ciągi
zdarzeń będące jego następstwami. W różnych miejscach drzewa zdarzeń znajdują się
punkty rozgałęzień ilustrujące fakt, że po pewnych zdarzeniach mogą wystąpić różne
inne. Prawdopodobieństwo określonego skutku oblicza się, mnożąc przez siebie
prawdopodobieństwa wszystkich zdarzeń składających się na ścieżkę w drzewie, po Penetracja systemu skuteczna!
Penetracja systemu nie powiodła się
której dochodzimy do rozważanego skutku.
Przykład 6.4 Rysunek 6.3. Przykładowe drzewo zdarzeń
Pracownicy pewnej instytucji w trakcie angażowania do pracy dostają kartę magne-
1) strażnik przy wejściu do budynku sprawdzający przepustki (bi),
tyczną ze zdjęciem wypisanymi danymi osobowymi, służbowymi oraz PIN-em. Karta
magnetyczna służy jako przepustka okazywana strażnikowi przy bramie oraz (wraz 2) elektroniczne zabezpieczenia wejść (czytnik karty magnetycznej + PIN) do kory-
z PIN-em) jako elektroniczny klucz otwierający te drzwi (i tylko te!), które wolno tarzy (b2),
otworzyć danemu pracownikowi. Hipotetyczny system komputerowy jest chroniony 3) elektroniczne zabezpieczenia wejść do pomieszczeń służbowych (j.w. - b3),
następującymi zabezpieczeniami fizycznymi i programowymi {b,, b2, b3, b4, b5}'3: 4) elektroniczne zabezpieczenie komputera (b4: czytnik karty + klawiatura do
wprowadzenia PIN-u),
13
Por. ujęcie formalne systemu bezpieczeństwa w rozdziale 1.3. 5) login i hasło (bs) konieczne do uruchomienia sesji.
Za b e zp ie c z e n ia
Na rysunku 6.3 przedstawiono drzewo zdarzeń wraz z pogrubioną ścieżką penetracji,
k o ry ta rz a p rz e p u ś c iły
odpowiadającą próbie fizycznego dostania się nieupoważnionej osoby do wskazanego in tru za
komputera i uruchomienia na nim sesji.
Interpretacja podatności może być następująca:
ri - niedbale wykonywanie obowiązków przez strażnika (nie porównał osoby ze
zdjęcia z osobą okazującą przepustkę);
r2 - źle wyszkoleni użytkownicy, np.:
- użytkownik nie zgłosił kradzieży karty magnetycznej,
- użytkownik zapisał PIN flamastrem na odwrocie karty,
- używane było słabe hasło (nazwisko użytkownika).
r3- brak okresowych kontroli siły haseł przez administratora ds. bezpieczeństwa
Jeżeli prawdopodobieństwa zajścia poszczególnych zdarzeń są takie, jak na rysunku
6.3 (liczby przy opisach czynności), to prawdopodobieństwo zrealizowania zagrożenia
(nieupoważniona osoba dostała się do komputera i uruchomiła na nim sesję z upraw-
nieniami legalnego użytkownika) wynosi:
p=0,2*0,3 *0,3 *0,3 *0,4=0,00216
Rysunek 6.4. Przykładowe drzewo błędów
k k
Drzewo błędów (to również graficzny model zależności przyczynowo-skutko- k k k k
wych) jest tworzone w przeciwnym kierunku niż drzewo zdarzeń. Rozpoczyna się
W analizie ilościowej drzewa błędów czyni się zwykle dwa założenia:
określonym skutkiem i rozwija w kierunku zdarzeń poprzedzających, pokazując wszy-
stkie możliwe kombinacje zdarzeń (w tym wypadku niepożądanych), które mogły 1. Zdarzenia funktora LUB wzajemnie się wykluczają.
doprowadzić do określonego skutku. 2. Wszystkie zdarzenia występujące w drzewie błędów są niezależne w sensie
Drzewa zdarzeń i drzewa błędów wykorzystuje się zarówno do analizy jakościo- probabilistycznym.
wej, jak i ilościowej. Po przeprowadzeniu analizy jakościowej (tj. bez oszacowania
prawdopodobieństw), pomagają one zorientować się w całym zakresie ryzyka i zro- Założenie 1 oznacza, że zdarzenie A na wyjściu funktora występuje wtedy, gdy
zumieć sytuację, której ryzyko dotyczy. Po przeprowadzeniu analizy ilościowej drze- występuje co najmniej jedno ze zdarzeń B ,, B 2 , ..., B„na wejściu tego funktora. W tym
wa zdarzeń i drzewa błędów pomagają wyznaczyć prawdopodobieństwa pewnych wypadku prawdopodobieństwo p ( A ) zdarzenia A wynosi:
zdarzeń lub ich ciągów. p (A ) = p ( B i) + p ( B 2) + ... + p ( B n)
Przykład 6.5. pod warunkiem, że zdarzenia B ,, B 2, .... B„ są rozłączne. W praktyce wyrażenie to
Drzewo błędów dla zdarzenia „zabezpieczenia korytarza przepuściły intruza” (z drze- stosuje się często do oszacowania prawdopodobieństwa p ( A ) również wtedy, gdy ten
wa zdarzeń w poprzednim przykładzie) może wyglądać jak na rysunku 6.4. Zdarzenia warunek nie jest spełniony. Aproksymację taką można uważać za zadowalającą, gdy
zaznaczone pogrubioną kursywą są w tym przykładzie zdarzeniami elementarnymi, poszczególne prawdopodobieństwa p ( B ,) } p ( B 2), .... p ( B n) są male. Niezależnie od
dla których (metodami przedstawionymi w tym rozdziale) musi zostać określone tego, czy zdarzenia B j, B 2, .... B„ są rozłączne, czy nie, prawdziwa jest nierówność:
prawdopodobieństwo wystąpienia. p ( A ) < p ( B , ) + p ( B 2) + ... + p ( B n)
która stosowana w praktyce prowadzi do zawyżenia prawdopodobieństwa zdarzenia A.
Drugie założenie, niezależności zdarzeń w drzewie błędów w sensie probabili- menda Główna Policji itp.) otrzymuje się prawdopodobieństwa uogólnione.
stycznym, oznacza, że jeżeli C jest wyjściem funktora I, a zdarzenia D h D 2, ..., D n Rzetelność otrzymanych wyników jest ograniczona zwykle niespójnymi meto-
pojawiają się na jego wejściu, to: dami klasyfikacji i gromadzenia takich danych oraz możliwą nieadekwatnością
p(C)=p( DI)p(D2)...p(Dn) do konkretnej analizy ryzyka.
• Z oszacowania dokonanego przez eksperta otrzymuje się oceny eksperckie,
bo w wypadku, gdy zdarzenia są zależne, zachodzi: wyrażane najczęściej w sposób opisowy. W wypadku korzystania przy oszaco-
p ( C ) = p ( D , ) p ( D 2/ D , ) ... p ( D , / D / D „ .i) waniach z ocen większej liczby ekspertów konieczne jest zastosowanie jakiejś
metody formalnej (np. delfickiej) do uśrednienia tych ocen. Praktyka wskazuje,
gdzie p ( D / D , D j) oznacza prawdopodobieństwo warunkowe zdarzenia D, pod wa-
że oceny ekspertów, czyli subiektywne szacowanie prawdopodobieństw zdarzeń
runkiem występowania koniunkcji zdarzeń £>/, ., D r W zagadnieniach analizy ryzyka rzadkich, mogą być obciążone dużymi błędami. Przyczyn tego można się doszu-
mówi się w tym wypadku o zdarzeniach mających wspólną przyczynę, tj. kilka kiwać m.in. w dramatyzowaniu niektórych zdarzeń w środkach masowego prze-
(różnych) zdarzeń następuje w sposób zależny w sensie probabilistycznym dlatego, że kazu, np. ujawnienie okolicznościowego wirusa lub włamanie do systemu kom-
mają tę samą przyczynę. Analiza ilościowa drzew błędów w takich wypadkach jest puterowego. Z tego powodu te zagrożenia (wirusy i hackerzy) są uważane za
trudna, ponieważ: najgroźniejsze dla systemu komputerowego i przetwarzanej w nim informacji,
- wspólną przyczynę trzeba wykryć; chociaż w praktyce okazuje się, że znacznie częstsze i groźniejsze w skutkach
- w wielu miejscach w drzewie błędów trzeba umieścić trudne do oszacowania mogą być np. ubytki wykwalifikowanego personelu.
prawdopodobieństwa warunkowe, wynikające z zależności zdarzeń;
- w wypadku zależności zdarzeń oddalonych (w drzewie błędów) wyznaczenie W [51 przytacza się różne sposoby określania subiektywnych ocen prawdopodo-
prawdopodobieństwa zdarzenia na szczycie drzewa jest skomplikowane. bieństwa zdarzeń rzadkich, gdy znane jest prawdopodobieństwo zajścia co najmniej
jednego z nich. Inną uznaną metodą określania prawdopodobieństw zdarzeń rzadkich
Założenie niezależności zdarzeń pozwala na uniknięcie wikłania się w prawdo- jest metoda delficka. W jednym z jej wariantów zbiera się szacunkowe prawdopodo-
podobieństwa warunkowe, co znacznie upraszcza oszacowania, a zwykle nie prowadzi bieństwa wystąpienia interesujących nas zdarzeń od ekspertów (nie mogą się w tej
do zbyt dużych błędów. sprawie ze sobą kontaktować). W wypadku braku zgodności otrzymanych od nich
ocen, uśrednia się zebrane oceny i listę z uśrednionymi wartościami rozprowadza się
Podstawowym założeniem i jednocześnie słabym punktem całej prezentowanej
wśród tych samych ekspertów z zapytaniem, czy po zapoznaniu się z ocenami są
tutaj metodyki jest przekonanie, że jeżeli skutkowi nie można przypisać prawdopodo-
skłonni uznać je za właściwe.
bieństwa w sposób natychmiastowy i bezpośredni, to skutek ten da się rozłożyć na
ciągi zdarzeń prowadzących do niego i znajdą się zdarzenia takie (nazywane Jeżeli eksperci zgodnie uznają przedstawione oceny za właściwe, przyjmuje się
elementarnymi), których prawdopodobieństwa są znane na podstawie doświad- je za wartości ostateczne prawdopodobieństw. Jeżeli nie, eksperci powinni się zebrać
czenia lub które można uzyskać od ekspertów z danej dziedziny. w jednym miejscu w celu przedyskutowania przyczyn rozbieżności i wypracowania
wartości końcowych prawdopodobieństw ocenianych zdarzeń rzadkich.
W szczególności możliwe są następujące sposoby uzyskania prawdopodobieństw
zdarzeń elementarnych:
6.5.2. Oszacowanie ryzyka - metoda jakościowa
• Prawdopodobieństwa obliczone na podstawie zbioru danych statystycznych (wytyczne raportu technicznego ISO/IEC TR 13335-3)
dotyczących danego zagrożenia, w znanym środowisku przetwarzania konkret-
nych informacji. Wymaga to prowadzenia np. dziennika eksploatacji systemu Z przyczyn przedstawionych w poprzednim rozdziale w praktyce najczęściej wy-
teleinformatycznego, obejmującego m.in. takie fakty, jak: sprzętowe awarie sys- stępują oszacowania jakościowe ryzyka, tj. bez operowania precyzyjnymi, liczbowymi
temu, nieudane próby logowania do systemu, awarie systemu na skutek wniknię- prawdopodobieństwami zajścia badanych zdarzeń. Zalecenie ISO/IEC TR 13335-
cia wirusów, włamania do systemu itd. 3:1997 [53] zawiera ogólnie uznawany zarys metodyki oszacowania jakościowego
ryzyka. W dalszej części rozdziału metodyka ta zostanie przedstawiona na przykła-
• Na podstawie danych ogólnych (gromadzonych do celów statystycznych przez
dach (6.6-6.9). W metodyce tej korzysta się z predefiniowanych zakresów wartości
niektóre organizacje, takie jak CERT, Komenda Główna Straży Pożarnej, Ko-
różnych parametrów procesu szacowania ryzyka, jak również z miar opisowych (np.
możliwość realizacji zagrożenia opisuje się jako niską, średnią lub wysoką). Do uzy- być dostosowany do potrzeb konkretnej firmy. Zaletą przedstawionego sposobu po-
skania konkretnych wartości stosuje się najczęściej metody ankietowe - właściciele stępowania jest możliwość porównania ryzyka.
informacji i inne osoby, których wiedza może się przydać w analizie ryzyka, wypeł-
niają odpowiednio przygotowane kwestionariusze. Jak powiązać ze sobą poziom za-
grożenia, poziom podatności zasobu oraz jego wartość w celu określenia potencjalne- Analiza ryzyka powinna dać też odpowiedź na pytanie, jakie zagrożenie jest naj-
go ryzyka, pokazuje przykład 6.6. niebezpieczniejsze w sensie poziomu i wagi niekorzystnych dla firmy skutków takiego
Przykład 6.6 zdarzenia (dla uproszczenia mierzonych zwykle wartością zasobów, których dotyczy).
Taki ranking zagrożeń może być potrzebny np. w celu redukcji zbioru możliwych za-
Założenia:
grożeń (skrócenia procesu analizy ryzyka). Sposób w jaki można przeprowadzić takie
1. Wartości zasobów zostały ocenione w skali liczbowej od 0 do 4. oszacowania, jest przedstawiony w przykładzie 6.7.
2. Zostały wypełnione ankiety, w których każdemu rodzaju wcześniej zidentyfiko-
Przykład 6.7
wanego zagrożenia i każdej grupie zasobów, których dotyczy zagrożenie:
W przykładzie użyto tabeli do połączenia punktowych miar skutków (mierzonych
a) przypisano miarę poziomu zagrożenia w skali (niski, średni, wysoki);
wartością zasobów, w skali od 1 do 5) i punktowych miar możliwości wystąpienia
b) przypisano miarę poziomu podatności zasobu w skali (niski, średni, wysoki). zagrożenia (poziomu - w skali od 1 do 5, uwzględniających podatności). Miarę ryzyka
3. Przyjęto arbitralnie punktową skalę miary ryzyka w postaci liczb całkowitych uzyskuje się, mnożąc odpowiednie komórki kolumn (b) i (c). W tym przykładzie 1
z przedziału 0-8. oznacza najmniejsze skutki i najmniejszą możliwość wystąpienia zagrożenia.
Tabela 6.2. Szacowanie ryzyka Tabela 6.3. Ranking zagrożeń
Poziom Niski Średni Wysoki

Zagrożenie Skutki wystąpienia zagrożenia Poziom Miara Ranking
zagrożenia
(a) (wartość zasobu) zagrożenia ryzyka zagrożeń
Poziom (b) (c) (d) (e)
N Ś W N Ś W N Ś W
podatności
Zagrożenie A 5 2 10 2
0 0 1 2 i 2 3 2 3 4
Zagrożenie B 2 4 8 3
1 1 2 3 2 3 4 3 4 5
Wartość zasobu 2 2 3 4 3 4 5 4 5 6 Zagrożenie C 3 5 15 1
3 3 4 5 4 5 6 5 6 7 Zagrożenie D 1 3 3 5
4 4 5 6 5 6 7 6 7 8 Zagrożenie E 4 1 4 4
Zagrożenie F 2 4 8 3
Dla każdego zasobu rozważa się związaną z nim podatność i odpowiadające jej
zagrożenie. Jeśli podatności nie przyporządkowano zagrożenia lub zagrożeniu podat-
ności, oznacza to, że obecnie nie występuje ryzyko (ale należy pamiętać, że w przy- Zaprezentowana tu metoda pozwala na porównanie i uszeregowanie zagrożeń charak-
szłości to może się zmienić). Każdemu wierszowi w tabeli odpowiada jakaś wartość teryzujących się różnymi skutkami i możliwością wystąpienia. Niekiedy w praktyce
zasobu i każdej kolumnie przyporządkowany jest jakiś poziom zagrożenia i podatno- może być przydatne powiązanie wartości finansowej z zastosowanymi tutaj miarami
ści. Na przykład, jeśli zasób ma wartość 3, zagrożenie jest wysokie, a podatność punktowymi.
niska, miara ryzyka równa się 5. Zakładając, że wartość zasobu równa się 2, poziom
zagrożenia jest niski, a poziom podatności wysoki, to miara ryzyka równa się 4.
Rozmiar tabeli - liczba kategorii zagrożenia, podatności i wartości zasobów - może Podczas planowania budowy systemu bezpieczeństwa, jeśli ma być zabezpieczanych
kilka systemów teleinformatycznych, może zachodzić potrzeba określenia harmonogramu
prac w zależności od wartości zasobów, poziomu zagrożenia i możliwości realizacji takie- Ostatnim etapem kompleksowej (tzn. obejmującej więcej niż jeden system telein-
go zagrożenia. Analiza może być prowadzona kolejno dla różnych zasobów składających formatyczny) analizy ryzyka w wariancie jakościowym jest zsumowanie wszystkich
się na dany system w celu uzyskania syntetycznego wskaźnika „priorytetu” systemu. wyników dla zasobów składających się na system i uzyskanie wskaźnika „priorytetu”
W tym celu wprowadza się kolejny parametr analizy ryzyka, odzwierciedlający możliwość dla systemu. Postępowanie to służy do zróżnicowania systemów i ustalenia prioryte-
realizacji zagrożenia, zależny od poziomu zagrożenia i łatwości wykorzystania określonej tów (który najpierw, a który może poczekać) ich zabezpieczania.
podatności. Na potrzeby przedstawionej tutaj analizy parametr ten opatrzymy nazwą
Przykład 6.9
szacowana możliwość realizacji (dalej w skrócie SMR) i będą mu przypisywane wartości
całkowite z zakresu 0-4. Przykłady 6.8 i 6.9 pokazują, jak można obliczyć wspomniany Załóżmy, że system S ma trzy zasoby: A l, A2 i A3. Załóżmy również, że istnieją dwa
syntetyczny wskaźnik „priorytetu” systemu, który powinien mieć wpływ na ustalenie ko- zagrożenia systemu S: Z1 i Z2. Wartość Al niech będzie równa 3, wartość A2 niech
lejności zabezpieczania poszczególnych systemów. wynosi 2, a wartość A3 = 4. Jeśli dla Al i Z 1 możliwość wystąpienia zagrożenia jest
niska, a łatwość wykorzystania podatności jest średnia, wtedy SMR równa się 1 (por.
Przykład 6.8
tabela 6.4).
W tym przykładzie uwzględniony jest kolejny parametr analizy ryzyka, SMR. Ocenia Wynik zasób/zagrozenie Al/Zl według tabeli 6.5 powstaje na przecięciu wartości 3
się go na podstawie poziomu zagrożenia i poziomu podatności. i częstotliwości 1, czyli równy jest 4. Podobnie, jeśli dla A1/Z2 możliwość wystąpie-
nia zagrożenia jest średnia, a łatwość wykorzystania podatności duża, wynik A1/Z2
Tabela 6.4. Poziomy zagrożenia i podatności a szacunkowa możliwość realizacji zagrożenia
równy jest 6. Wynik ostateczny A1Z = 10. Wskaźnik taki oblicza się dla każdego
zasobu i stosownego zagrożenia.
Poziomy zagrożenia Niski Średni Wysoki
Całkowity wskaźnik dla systemu oblicza się, sumując A1Z + A2Z + A3Z.
Poziomy podatności N Ś W N Ś W N Ś W
SMR 0 1 2 1 2 3 2 3 4
Przykład 6.10
Parametr SMR nie uwzględnia ani wartości zasobu, ani tym samym motywacji poten-
A i N oznaczają ryzyko akceptowalne i nieakceptowalne. Tabela z przykładu 6.8 może
cjalnego intruza (którego siła ataku na system w celu zdobycia określonego zasobu
być zmieniona następująco:
informacyjnego będzie determinowana atrakcyjnością tego zasobu). Aby to uwzględ-
nić, określa się, tak jak w tabeli 6.5, wskaźnik wartość_zasobu/zagrożenie poprzez Tabela 6.6. Akceptacja ryzyka szczątkowego
odszukanie przecięcia wartości zasobu i SMR. Wskaźnik ten może służyć do rozróż-
niania zasobów tworzących część systemu.
Wartość zasobu 0 1 2 3 4
Tabela 6.5. Ryzyko jako funkcja wartości zasobu i możliwości realizacji zagrożenia SMR
0 A A A A N
Wartość zasobu 0 1 2 3 4 1 A A A N N
SMR 2 A A N N N
0 0 1 2 3 4 3 A N N N N
1 1 2 3 4 5 4 N N N N N
2 2 3 4 5 6
3 3 4 5 6 7 Wyznaczenie granicy między ryzykiem akceptowalnym i nieakceptowalnym (tutaj
4 4 5 6 7 8 granica leży między 3 i 4), należy do kierownictwa firmy i jest to decyzja arbitralna,
która powinna być jednak podbudowana wynikami procesu analizy ryzyka.
Metodyka zgodna z zaleceniem [53] jest w dużym stopniu oparta na subiektyw- W Microsofcie do identyfikacji zagrożeń podczas eksploatacji wytwarzanego przez
nych miarach i ocenach. Subiektywne są: firmę oprogramowania jest stosowana klasyfikacja STRIDE. Klasyfikacja ta zawiera
zagrożenia związane z działaniami intruza, a jej nazwa jest akronimem następujących
- wartos'ci opisowe poziomów różnego typu;
określeń:
- przyjęte zakresy wartości miar liczbowych;
Spoofing Identity - podszywanie
- przyjęte przedziały wartości miar odpowiadających poszczególnym poziomom;
Tampering - manipulacja
- przyporządkowania konkretnych miar zagrożeniom, podatnościom, skutkom itp.
Repudation - zaprzeczanie
Przyporządkowania takiego dokonuje wybrany personel firmy podczas badań an-
kietowych. Analityk może narzucić konkretne miary opisowe oraz zakresy prze- Information Disclosure - ujawnienie informacji
działów, ale w końcu musi zaakceptować to, co podadzą mu pracownicy firmy. Denial-of-Services - blokada usługi
Elevation-of-Privilege - zwiększanie uprawnień
Nie istnieją żadne unormowania czy standardy traktujące o tym, jak ustalać po-
wyższe wartości. Skutkiem może być niepowtarzalność wyników procesu analizy Tabela 6.7. Mapowanie STRIDE na typy elementów DFD
ryzyka dla potrzeb bezpieczeństwa teleinformatycznego w zakresie wygenerowanych
konkretnych ocen i oszacowań. Niestety, przy braku danych statystycznych do osza- Typ elementu DFD S T R I D E
cowania rozkładu prawdopodobieństwa zdarzeń elementarnych dla potrzeb ilościowej Terminator (element zewnętrzny) X X
analizy ryzyka oraz braku danych od ekspertów (których opinie też są w dużej mierze
Przepływa danych X X X
subiektywne), oszacowania jakościowe ryzyka pozostają jedynym praktycznym spo-
Magazyn danych X X X X
sobem przeprowadzenia tego etapu procesu budowania systemu bezpieczeństwa
teleinformatycznego. Proces X X X X X X
Przykład 6.11
5. Ocena poziomu ryzyka.
Niniejszy przykład przedstawia metodykę analizy ryzyka firmy Microsoft dla wytwa-
Pod uwagę brane są następujące kryteria analizy zagrożenia:
rzanego oprogramowania (opracowano na podstawie [10]). Jest to analiza ryzyka z za-
kresu bezpieczeństwa oprogramowania i chociaż jest częścią cyklu wytwórczego, nie a) Rodzaj aplikacji: klient lub serwer;
należy jej mylić z analizą ryzyka projektu. Bezpieczeństwo oprogramowania jest b) Rodzaj dostępu: lokalny lub zdalny;
rozumiane jako oprogramowanie odporne na zagrożenia (głównie celowymi działa- c) Dostępność: anonimowa lub uwierzytelniana;
niami). Podstawowe etapy procesu modelowania zagrożeń to:
d) Stan domyślny: włączony lub wyłączony;
1. Ustalenie:
e) Wrażliwość danych: poufne lub identyfikujące tożsamość;
- „granic zaufania” badanej aplikacji (co jest pod naszą kontrolą jako projek-
f) Wrażliwość na atak DoS: tymczasowa (może kontynuować obsługę żądań po
tantów/programistów);
zaprzestaniu ataku) lub trwała (nie działa);
- „granic uprawnień” (miejsc, w których dane przechodzą między poziomami
g) Interakcja z użytkownikiem: jest lub brak.
uprawnień „niższy-wyższy” i na odwrót);
Do tak zdekomponowanego zagrożenia (przedstawianego zwykle w postaci drzewa,
- wymagań dotyczących bezpieczeństwa.
którego liśćmi są skutki realizacji zagrożenia) stosuje się system ocen o nazwie
2. Zidentyfikowanie tzw. scenariuszy użycia (aplikacji) i związanych z tym zagrożeń. DREAD, która to nazwa jest akronimem następujących określeń:
3. Wykonanie modelu DFD badanej aplikacji (używane elementy: terminator, prze- Damage Potential - potencjalne szkody
pływ danych, magazyn danych, proces)14. Reproducibility - powtarzalność
4. Ustalenie zagrożeń: STRIDE + mapowanie STRIDE na elementy DFD (tab. 6.7). Expoitability - możliwość realizacji
Affected Users - narażeni użytkownicy
14 Discoverability
Diagramy DFD są wykorzystywane także w L-RAC (załącznik). - wykrywalność.
m
Efektem powinno być przypisanie poziomu ryzyka, gdzie poziom 1. oznacza najwyż- 6. Planowanie środków łagodzących ryzyko. Do minimalizowania ryzyka nie-
sze, a poziom 4. najniższe ryzyko, przy czym przyjmuje się że: uprawnionych działań, związanego z jakąś' funkcją, stosowane są następujące
- ryzyka o poziomie 1. i 2. powinny zostać zminimalizowane na etapie wytwarza- metody:
nia produktu; - nierobienie niczego,
- ryzyka o poziomie 3. powinny zostać zminimalizowane przed skierowaniem - usunięcie funkcji,
produktu do dystrybucji; - wyłączenie funkcji,
- ryzyka poziomu 4. można minimalizować, jeśli są dostępne odpowiednie zasoby - ostrzeżenie użytkownika,
i pozwoli na to czas.
- odparcie zagrożenia przy użyciu odpowiedniej technologii (por. tabela 6.8).
Ocena jest wspomagana rankingami z biuletynów MSCR (M i c r o s o f t S e c u r ity R e s p o n -
•k A -k A
s e C e n te r ) .
Tabela 6.8. Przypisanie metod i technologii przeciwdziałania zagrożeniom STRIDE 6.5.3. Szacowanie ryzyka - analiza bezpieczeństwa systemów
sterowania
Typ zagrożenia Metoda Przykładowe technologie
„Moda” na widzenie wszystkich aspektów działalności biznesowej firmy przez
s Podszywanie uwierzytelnianie — uwierzytelnianie Kerberos pryzmat ryzyka, o której była już mowa na początku rozdziału 6, ma swoje przełoże-
użytkowników — uwierzytelnianie z użyciem cookie nie również na problematykę zapewniania odpowiedniej jakości produktów, które są
i informacji włączone w realizację kluczowych procesów biznesowych firmy i mających wpływ na
— podpisy cyfrowe
te procesy. Przykładem takich szeroko rozumianych „produktów” są systemy stero-
— systemy PK1
wania procesami produkcji lub systemy nadzoru i monitoringu. Systemy te należą do
T Manipulacja zapewnianie integralności — podpisy cyfrowe klasy systemów sterowania, tzn. takich, dla których, zgodnie z uznanymi standarda-
— listy ACL mi, w cykl życia wbudowuje się cykl życia bezpieczeństwa, którego etapem jest tzw.
— kody uwierzytelniające wiadomość analiza bezpieczeństwa.
Analiza bezpieczeństwa to proces, w którym oceniany jest poziom ryzyka zwią-
R Zaprzeczanie zapewnianie — silne uwierzytelnianie
zanego ze stosowaniem produktu/systemu i identyfikowane są mechanizmy występo-
niezaprzeczalnosci — zapisy w dziennikach wania wypadków. Zdarzenia prowadzące w sposób bezpośredni do wypadku nazywa
— bezpieczne datowniki się hazardami [45], [50], [69], W szczególności rozróżnia się:
— zaufane strony trzecie - hazard (ang. h a z a r d ) - przez który rozumie się sytuację mogącą spowodować
I Ujawnienie zapewnianie tajności — szyfrowanie śmierć lub obrażenia ludzi;
informacji - listy ACL - ryzyko (ang. r is k ) - które definiuje się jako miarę stopnia zagrożenia, wyrażającą
zarówno stopień szkodliwości hazardu, jak i prawdopodobieństwo jego wystą-
D Blokada usługi zapewnianie dostępności — listy ACL pienia.
— filtrowanie
— limitowanie Stosowane metody wykrywania hazardu to:
E Zwiększanie • FTA (ang. f a u l t t r e e a n a ly s is ) - może być wykorzystywana do analizy wstępnej
autoryzacja - listy ACL
uprawnień projektu, systemowej analizy ryzyka, analizy podsystemów a na etapie eksplo-
— konfiguracja praw dostępu atacji do analizy wypadków oraz projektowania modyfikacji systemu.
• SFTA (ang. s o f tw a r e f a u l t tr e e a n a ly s i s ) - zmodyfikowana do analizy oprogra-
mowania metoda FTA.
• FMEA oraz jej rozszerzenia o ocenę stanów krytycznych FMECA (ang. f a i l u r e Tabela 6.11. Klasyfikacja szkód
m o d e s , e ff e c ts a n d c r i t i c a l i ty a n a l y s is ) - przedmiotem metody może być zarówno
architektura, jak i proces realizacji systemu. Metoda FEMA jest zalecana przez Lp. Kategoria Opis
normę PN-93/N-50191. 1 Katastrofalne wiele ofiar śmiertelnych
• HAZOP (ang. h a z a r d a n d o p e r a b il i t y s t u d i e s ) - metoda ma charakter półformal- 2 Krytyczne pojedyncze przypadki śmiertelne i/lub liczne przypadki zranień lub
nej procedury inspekcji dokumentacji systemu, mającej na celu identyfikację od- liczne przypadki chorób zawodowych
stępstw od założonego działania i ocenę ich wpływu na bezpieczeństwo.
3 Duże pojedyncze przypadki zranień lub chorób zawodowych i/lub liczne
przypadki niewielkich zranień lub niegroźnych chorób zawodowych
Podczas realizacji powyższych zadań w ramach analizy bezpieczeństwa stosuje
się zwykle klasyfikację zaproponowaną w standardzie RTCA DO-178B, odnoszącą 4 Male pojedyncze przypadki niewielkich zranień lub niegroźnych chorób
się do szkód ponoszonych na zdrowiu przez ludzi. Klasyfikacja ta obejmuje: zawodowych
- klasyfikację ryzyk (używana m.in. w FMEA, por. tabela 6.9); 5 Nieznaczne brak szkód
- klasyfikację częstości zdarzeń (por. tabela 6.10);
- klasyfikację szkód (por. tabela 6.11). Tabela 6.12. Związki ryzyka ze szkodami i częstością zdarzeń
Tabela 6.9. Klasyfikacja ryzyk Nieznaczne

Szkody Katastrofalne Krytyczne Duże Małe
Częstość
Lp. Klasa Opis
ryzyka Częste A A B D E
1 A nietolerowane Prawdopodobne A A B E E
2 B niepożądane, akceptowane tylko w wypadku, gdy redukcja jest niepraktyczna E E
Okazjonalne A B C
3 C tolerowane, w wypadku zgody Komitetu Przeglądu Bezpieczeństwa projektu
Rzadkie A B C E E
4 D tolerowane, w wypadku zatwierdzenia podczas normalnego przeglądu projektu
Nieprawdopodobne B C D E E
5 E tolerowane w każdych warunkach
Niewiarygodne C D D E E
Tabela 6.10. Klasyfikacja częstości zdarzeń

Wynikiem interpretacji danych zebranych w tabelach 6.9-6.11 może być przy-
kładowa, zbiorcza tabela 6.12. Konkretna zawartość (tzn. rozstawienie klas ryzyk
Lp. Opis częstości Liczba wystąpień w czasie cyklu eksploatacyjnego
w takiej tabeli) w praktyce zależy od rodzaju projektu, sposobu użycia produktu, orga-
1 Częste 10000x10'6, możliwość występowania w sposób ciągły nizacji eksploatującej produkt itp.
2 Prawdopodobne 100xl0'h, możliwość częstego występowania Przechodząc do przeciwdziałania zagrożeniom, warto się posłużyć wytycznymi
3 Okazjonalne lx l0 ’6, możliwość okazjonalnego występowania normy IEC 61508 „Functional Safety: Safety-Related Systems” [50], Prawdopodo-
bieństwo, że elementy zabezpieczające prawidłowo wykonają wymagane funkcje jest
4 Rzadkie 0,01x10'6 możliwość rzadkiego występowania
nazywane integralnością zabezpieczeń (ang. s a f e ty in te g r it y ) . W normie wyróżniono
5 Nieprawdopodobne 0,0001xl06 niemożliwe, ale mogące się zdarzyć wyjątkowo cztery poziomy integralności zabezpieczeń, określone przez prawdopodobieństwa
6 Niewiarygodne 0,00000 lx l0 ‘6 wystąpienie zdarzenia wysoce niemożliwe awarii (por. tab. 6.13).
r
Tabela 6.13. Poziom y integralności zabezpicc/ch (imp. safely integrity level, SIL) - transfer ryzyka,
- retencję (zatrzymanie) ryzyka.
Poziom Praca start-stopowa: Praca ciągła:
integralności prawdopodobieństwo błędu prawdopodobieństwo błędu w ciągu godziny Wymieniona kolejnos'c jest umotywowana pogarszającym się wskaźnikiem na-
4 KU5 do 10 ^ 10 9 do 10 ~8 kładów czasu, wysiłku i kosztów do uzyskanych efektów kolejnych rozwiązań. Uni-
kanie ryzyka15 pozwala na pełne uwolnienie własnych zasobów bądź procesów od
3 10 do 10 3 10 ~8 do 10 “7
tego ryzyka.
2 10 3 do 10 “2 10 7 do 10
Jeżeli możliwości unikania ryzyka zostały wyczerpane, należy podjąć próbę kon-
1 10 2 do 10 10 “6 do 10 “5 trolowania go poprzez:
- prewencję, czyli oddziaływanie przez kontrolowanie podatności na możliwość
Zalecenia normy, dotyczące metod oceny bezpieczeństwa w zależności od po- realizacji zagrożenia;
ziomu integralności zabezpieczeń, są podane w tabeli 6.14: redukcję (minimalizowanie), czyli oddziaływanie na skutek realizacji zagroże-
nia, mające na celu zmniejszanie wielkości strat w wypadku wykorzystania po-
Tabela 6.14. Metody oceny bezpieczeństwa a poziomy integralności datności przez zagrożenie. Działania minimalizujące powinny być opisane w pla-
nach odtwarzania ciągłości działania (firmy, systemu teleinformatycznego itp.).
Metoda lub technika SILI SIL 2 SIL 3 SIL 4 Oddziaływanie to zwykle sprowadza się do realizacji odpowiednich procedur
1 Kwestionariusze ocen
szybkiego przywracania poprawnego działania systemów teleinformatycznych.
R R R R
2 Tablice decyzyjne i tablice prawdy R R R R Wobec ryzyk leżących bliżej lewego górnego rogu mapy ryzyka (niskie prawdo-
3 Miary złożoności programów R R R R podobieństwo zdarzenia, lecz katastrofalny skutek - por. rys. 6.2) działania będą
najskuteczniejsze i najwydajniejsze w zakresie zmniejszania PML - zwykle znacznie
4 Diagramy przyczynowo-skutkowe (CCD) R R R R
łatwiej będzie zmniejszyć PML o 1/3 (np. z 3 do 2 min zł) niż prawdopodobieństwo
4a Analiza drzewa zdarzeń (ETA) R R R R realizacji zagrożenia zmniejszyć np. z 3 do 2%. Powodowane jest to m.in. tym, że są
5 Analiza drzewa błędów (FTA) R R WR WR to najczęściej tzw. zdarzenia (zagrożenia) rzadkie, często związane z czynnikami
naturalnymi (trzęsienie ziemi, powódź, huragan), na które zwykle nie mamy wpływu.
6 Analiza rodzajów i skutków uszkodzeń (FMEA) R R WR WR
Z kolei ryzyka leżące blisko prawego dolnego rogu (częste, lecz mało dotkliwe
Analiza hazardu i gotowości systemu (HAZOP) R R WR WR
zdarzenia) wymagają zwykle działań zmniejszających prawdopodobieństwo realizacji
8 Modele Markowa R R R WR zagrożenia (oddziaływania na przyczyny), gdyż próba zmniejszenia każdej jednost-
9 Schematy blokowe niezawodności R R R R kowej szkody np. z 1000 do 700 zł będzie mało skuteczna i jednocześnie bardzo
kosztowna. Przykładem próby zmniejszenia jednostkowej szkody może być rezygna-
10 Symulacja (Monte Carlo) R R R R
cja ze stosowania oprogramowania antywirusowego na rzecz procedur naprawczych
R - rekomendowane, WR - wysoko rekomendowane po wykonanym ataku kodu lub programu złośliwego.
Gdy zostały wyczerpane możliwości kontrolowania ryzyka przez firmę i jeśli
6.6. Reakcja na ryzyko tzw. ryzyka rezydentne (ang. r e s id u a l r is k s , według Risk Management Standard),
czyli poziom ryzyka, które pozostało po zastosowaniu wcześniej wspomnianych
W literaturze (m.in. Risk Management Standard, AIRMIC) podaje się zwykle na-
stępujące możliwe reakcje na ryzyko (ang. r is k trea tm e n t)'. Na przykład odcięcie pracownikom dostępu do Internetu pozwala na uniknięcie ryzyka
- unikanie ryzyka, m.in. dostępu do agresywnych stron WWW lub ataku zdalnego. Podobnie przejście na
- kontrolowanie ryzyka, system typu Unix pozwala na uniknięcie ataku kodów i złośliwych programów utworzo-
nych do systemów Windows.
technik je minimalizujących, jest nadal zbyt wysoki, należy rozważyć przekazanie SPOSOBY REDUKCJI RYZYKA
tych ryzyk lub ich części, czyli ich transfer.
Podstawową zasadą transferu jest dokonywanie go do podmiotu, który potrafi ry-
zykiem zarządzać lepiej niż podmiot, który chce się ryzyka pozbyć. Do form przeka-
zywania ryzyk na zewnątrz należy: UNIKANIE KONTROLOWANIE TRANSFER
RYZYKA RYZYKA RYZYKA
- outsourcing tych funkcji firmy, które są obarczone ryzykiem niewspółmiernie
wysokim w stosunku do wartości dodanej przez nie, np. oddanie w outsourcing
utrzymywania firmowych stron WWW lub utworzenie centrum zapasowego dla
firmowego ośrodka komputerowego na zasadzie kolokacji lub hostingu;
Prewencja poprzez zastosowanie Minimalizowanie poprzez
- pozostawienie funkcji (procesów, majątku trwałego) w firmie, a wyprowadzenie
wdrożenie planów zapewniania
samego ryzyka poza firmę - często odbywa się to przez współuczestniczenie ZABEZPIECZEŃ ciągłości działania
partnera zewnętrznego w ryzyku16;
- ubezpieczenie ryzyka.
ORGANIZACYJNYCH TECHNICZNYCH FIZYCZNYCH

Elementem wspólnym wszystkich form transferu ryzyka jest to, iż jest on od- (obiektów, łączy i urządzeń)
płatny - wymaga poniesienia kosztu i finansowania tego rozwiązania przez firmę.
Dlatego najpierw próbuje się kontrolować i minimalizować ryzyko (gdyż samo mini-
malizowanie, jego koszty i skuteczność pozostają pod całkowitą kontrolą firmy),
a dopiero potem odpłatnie transferować zminimalizowane ryzyko (tańsze w transferze, Systemy technicznej ochrony Środki sprzętowo-programowe
bo „bezpieczniejsze”). Transfer ryzyka pozbawia firmę w dużym stopniu kontroli nad obiektów, łączy i urządzeń ochrony informacji przetwarzanej
nim - na ryzyko wystawiona jest firma, ale kto inny nim zarządza. Podstawowe pyta- w systemach teleinformatycznych
nie, na które należy w takim wypadku znaleźć odpowiedź, brzmi: na ile partner, który
odpłatnie przejmuje ryzyko dotyczące naszej firmy, potrafi je kontrolować i skutecz-
nie zareagować w wypadku jego realizacji?
Ostatnią formą reagowania na ryzyko jest jego retencja (zatrzymanie). Nie ozna-
cza to rezygnacji z wszelkich działań łagodzących, lecz przyjęcie do wiadomości
To są elementy konstrukcyjne do budowy
wielkości ryzyka i opracowanie odpowiednich planów odtwarzania (powrotu według
technicznej części systemu ochrony
PN-IEC 62198 [59]). informacj i przetwarzanych
w systemach teleinformatycznych.
6.6.1. Kontrolowanie ryzyka poprzez stosowanie zabezpieczeń
Rysunek 6.5. Miejsce zabezpieczeń w metodach postępowania z ryzykiem
Redukowanie ryzyka ma na celu zmniejszenie go do poziomu akceptowalnego.
Sposoby kontrolowania ryzyka na potrzeby bezpieczeństwa teleinformatycznego są W wypadku analizy ryzyka prowadzonej na potrzeby bezpieczeństwa teleinfor-
przedstawione na rysunku 6.5. matycznego środki zmniejszające ryzyko w zakresie działań związanych z kontrolo-
waniem ryzyka nazywa się zabezpieczeniami. Zabezpieczenia mogą być typu organi-
zacyjnego, fizycznego (zabezpieczenia fizyczne obiektów i urządzeń, w tym kompute-
rów i łączy) lub technicznego. W zakresie zabezpieczeń technicznych można wyróżnić:
1. Zabezpieczenia techniczne obiektów (budynki, pomieszczenia) i urządzeń (w tym
Na przykład udział finansowy firmy ochrony w pokryciu szkód kradzieżowych, obowią- komputerów i łączy), np. skomputeryzowane systemy antywłamaniowe, systemy
zek kontrolowania i finansowania ryzyka awarii sprzętu komputerowego przez produ-
centa lub serwisanta itp. sygnalizacji ppoż. itp.
2. Zabezpieczenia sprzętowo-programowe informacji przetwarzanej, przechowy- 1. Wybrać cele stosowania zabezpieczeń i zabezpieczenia jako środki postępowania
wanej i przesyłanej w systemach teleinformatycznych: z ryzykiem spośród zamieszczonych w załączniku A normy.
- wbudowane w oprogramowanie systemowe lub użytkowe; 2. Cele stosowania zabezpieczeń i zabezpieczenia należy wybrać i wdrożyć w taki
- dodane do systemu teleinformatycznego jako oddzielne produkty, realizujące sposób, aby spełniały wymagania zidentyfikowane w procesach szacowania ry-
wyłącznie funkcje ochronne. zyka i postępowania z ryzykiem. Wybierając, należy brać pod uwagę kryteria ak-
ceptacji ryzyka, jak również wymagania prawne, wymagania nadzoru oraz zo-
Cecha charakterystyczna różniąca zarządzanie ryzykiem np. w finansach (gdzie bowiązania wynikające z umów.
przedmiotem analizy są pieniądze) od zarządzania ryzykiem związanym z przetwarza-
niem informacji w firmie (gdzie przedmiotem analizy jest informacja) to znaczenie Zamieszczone w załączniku A normy 133 zabezpieczenia (nazywane dalej nor-
zabezpieczeń, zwłaszcza sprzętowo-programowych w wypadku informacji. Wynika to matywnymi, por. także rozdział 8) są podzielone na następujące grupy (numeracja
z faktu, że podstawowym elementem systemu informacyjnego, dla którego prowadzi się zgodna z numeracją w załączniku; w nawiasach podano liczbę zabezpieczeń wyspecy-
taką analizę ryzyka, jest zwykle system teleinformatyczny. Budowa systemu ochrony fikowanych w każdej grupie):
informacji powinna zacząć się na etapie projektowania systemu teleinformatycznego. 1) A.5. Polityka bezpieczeństwa (2)
Podstawą prac projektowych jest specyfikacja wymagań (por. rozdział 9), gdzie jedną 2) A.6. Organizacja bezpieczeństwa informacji (11)
z grup wymagań są zwykle wymagania związane z zapewnieniem właściwej ochrony
3) A.7. zarządzanie aktywami (5)
informacji przetwarzanej w takim systemie. Wymagania te spełnia się poprzez:
4) A.8. Bezpieczeństwo zasobów ludzkich (9)
- odpowiednią architekturę takiego systemu;
5) A.9. Bezpieczeństwo fizyczne i środowiskowe (13)
- zastosowanie elementów sprzętowo-programowych (zabezpieczeń);
6) A. 10. Zarządzanie systemami i sieciami (32)
właściwe zarządzanie eksploatacją takiego systemu (zabezpieczenia organizacyjne).
7) A.l 1. Kontrola dostępu (25)
Problem unikania ryzyk także powinien zostać rozwiązany na etapie projektowania 8) A. 12. Pozyskiwanie, rozwój i utrzymywanie systemów informacyjnych (16)
systemu teleinformatycznego poprzez jego odpowiednie zaprojektowanie. Na przykład 9) A. 13. Zarządzanie incydentami związanymi z bezpieczeństwem informacji (5)
osadzenie go na platformach linuksowych pozwala na unikanie zagrożeń związanych
10) A. 14. Zarządzanie ciągłością działania (5)
z systemami windowsowymi, a przetwarzanie i przechowywanie informacji na wydzie-
lonych (z sieci) stacjach roboczych pozwala na uniknięcie ataków zdalnych. 11) A.15. Zgodność —CIO)
RAZEM: 133
Podczas implementacji zabezpieczeń warto pamiętać o podstawowej zasadzie:
jeżeli muszą być przedsięwzięte działania związane z budową zabezpieczeń, należy Repertuar środków zaprezentowany w załączniku A jest zbiorem bazowym,
określić największe ryzyko i starać się je minimalizować najmniejszym kosztem, z którego należy wybrać podzbiór środków do wdrożenia i utrzymywania. Nie jest to
z minimalnym wpływem na realizacje innych funkcji firmy. zbiór wyczerpujący, tzn. należy zawsze rozważyć, czy w odniesieniu do konkretnego,
Ze względu na znaczenie na całym świecie serii norm ISO/IEC 27000 w przed- poddawanego analizie środowiska nie ma potrzeby zastosowania innych zabezpieczeń.
sięwzięciach związanych z zarządzaniem bezpieczeństwem informacji poniżej podano Warto także zauważyć, że w normie opisuje się system zarządzania, a nie ma systemu
zabezpieczeń (systemu bezpieczeństwa) - współzależność między zabezpieczeniami
interpretację redukcji ryzyka w kontekście normy PN-ISO/IEC 27001:2007.
nie jest rozważana.
Rozpoczęcie realizacji tego procesu oznacza, że zbiór ryzyk został już przejrzany
Zabezpieczenia normatywne są specyfikacją zabezpieczeń na wysokim poziomie
i podjęto decyzję, których będzie się unikać. Do pozostałych, zgodnie z ogólnie uzna-
nymi zasadami postępowania z ryzykiem, próbuje się dobrać zabezpieczenia, aby je ogólności. Na przykład opis zabezpieczenia A.l 1.4.2 (uwierzytelnianie użytkowników
zminimalizować. przy połączeniach zewnętrznych) jest następujący: p r z y d o s t ę p i e z d a ln y c h u ż y tk o w n i -
k ó w n a le ż y s t o s o w a ć o d p o w i e d n i e m e t o d y u w ie r z y t e l n ia n ia . Norma nie podaje typu
Jednym z możliwych rozwiązań tego problemu jest skorzystanie ze schematu po-
uwierzytelniania - za pomocą haseł zwykłych, jednorazowych, tokenów? Nie należy
stępowania wpisanego w normę PN-ISO/IEC 27001:2007. Zgodnie z zapisami w pun- się także spodziewać, że norma wskaże koszt lub producenta takiego zabezpieczenia
kcie 4.2.g) tej normy, należy:
(tokena). Norma PN-ISO/IEC 27001:2007 może być zatem przydatna wyłącznie do Tabela 6.15. Wzór zbiorczego dokumentu - produkt wyjściowy etapu kontrolowania ryzyka
wyspecyfikowania wymaganych typów zabezpieczeń. (za [36])
W celu zachowania zgodności z zaleceniami normy PN-ISO/IEC 27001:2007
sugeruje się:
1. Określić (na podstawie zbioru ryzyk uporządkowanych według wagi oraz załącz-
nika A normy PN-ISO/IEC 27001:2007) zabezpieczenia normatywne.
2. Rozważyć, czy nie są potrzebne inne zabezpieczenia niż wymienione w załącz-
niku A.
3. Jeżeli analiza ryzyka jest prowadzona dla systemu już eksploatowanego, należy
ustalić, które ze zidentyfikowanych zabezpieczeń technicznych są już wbudowa- 1W postaci pary: zagrożenie - podatność.
ne lub dodane do systemu. To samo należy ustalić w odniesieniu do wdrożonych Wybrane spośród rekomendowanych działań zabezpieczających - por. załącznik A w normie
zabezpieczeń natury organizacyjnej. PN-I-07799.
4. Dobrać konkretne zabezpieczenia techniczne (sprzętowe i programowe, np.
produkt o wymaganych cechach użytkowych i technicznych, konkretnej cenie, 6.6.2. Akceptacja ryzyka szczątkowego
dostarczony przez określonego producenta) oraz wskazać wymagane zabezpie- Podstawowym zadaniem procesu akceptacji ryzyka szczątkowego jest ustalenie
czenia organizacyjne. wartości progowych PML oraz wartości progowych częstości (prawdopodobieństw,
5. Wykonać analizę koszty/korzyści, polegającą na: możliwości). Dwa najpopularniejsze podejścia to:
- oszacowaniu możliwych strat, jeżeli nie zostaną wprowadzone żadne zabez- tolerancja1* na ryzyko,
pieczenia i zrealizują się wszystkie zagrożenia; - wartości progowe.
- obliczeniu kosztów zabezpieczeń technicznych;
- oszacowaniu kosztów wprowadzenia zabezpieczeń organizacyjnych; W pierwszym wypadku należy określić, jakie maksymalne straty w ciągu roku
firma może ponieść, aby jeszcze zachować zdolność operacyjną i konkurencyjną.
- oszacowaniu nakładów łącznych zabezpieczeń i sprawdzeniu, czy są akcep- Dysponując wartością maksymalnych rocznych strat, można na mapie ryzyka naryso-
towalne przy zadanym wskaźniku nakładów na postępowanie z ryzykiem17. wać krzywą obrazująca próg tolerancji firmy na ryzyko - ryzyka ponad krzywą nie są
6. W wypadku nieakceptowalnych kosztów należy zminimalizować w pierwszej tolerowane, pod krzywą są akceptowane. Na przykład firma mogąca samofinansować
kolejności koszty zabezpieczeń przez zmianę produktu lub dostawcy. Następnie roczne straty rzędu 100 tys. zł:
można poszukiwać alternatywnych rozwiązań w ramach zabezpieczeń norma- dla zdarzeń „raz na 4 lata” (0,25) będzie miała tolerancję rzędu 400 000 zł,
tywnych.
- dla zdarzeń „raz na 10 lat” (0,1) tolerancja wynosi 1 000 000 zł itd.
7. Po optymalizacji kosztów otrzymuje się listę zabezpieczeń rekomendowanych do
wdrożenia. W drugim wypadku, zwłaszcza gdy oszacowania mają być bardziej precyzyjne
niż „akceptowalne” i „nieakceptowalne” oraz przewiduje się stosowanie miar opiso-
Przykładem dokumentu wynikowego z realizacji zadania redukcji ryzyka może
wych typu: „małe”, „średnie”, „duże”, „prawdopodobne”, „mało prawdopodobne”
być szablon przedstawiony w postaci tabeli 6.15.
itp., należy zdefiniować tzw. wartości progowe dla:
- PML - określające, gdzie przebiega granica między stratą „małą” a „średnią”,
„średnią” a „dużą” itd.; w zastosowaniach praktycznych stosuje się najczęściej
zbiór parametrów i wskaźników finansowych firmy - często wykorzystuje się
odniesienia do przychodów rocznych firmy oraz do jej rocznych zysków;
17 18
Trzeba będzie zapewnić s'rodki finansowe także na ewentualny transfer ryzyka. W żargonie menedżerów ryzyka nazywana często apetytem.
prr
- możliwości (potocznego „prawdopodobieństwa” lub częstości) - dających pod- - lewy górny obszar - ryzyka, które należy w pierwszej kolejności redukować
stawy do podjęcia (lub nie) określonych działań przez firmę. Progi te mogą zo- (zmniejszać szkody powstałe w razie realizacji),
stać okres'lone „zdroworozsądkowo” lub bardziej formalnie, z wykorzystaniem - prawy dolny obszar - ryzyka, dla których należy obniżać częstość wywołują-
mediany19 oraz górnego i dolnego kwartyla z wartości prawdopodobieństwa cych je zdarzeń,
wszystkich analizowanych ryzyk. - lewy dolny obszar - ryzyka akceptowalne.
Warto również zauważyć, że ze względów praktycznych skala szkód jest skalą

logarytmiczną, a skala częstości realizacji zagrożenia (zdarzeń typu „raz na 4 lata”, tj.
0,25 czyli 25%), jest procentowa.
6.6.3. Ryzyko akceptowalne i koszty postępowania z ryzykiem

Opracowując podstawy decyzji o akceptacji ryzyka szczątkowego, należy także
określić ryzyko oceny i ryzyko detekcji związane z identyfikacją strat, zagrożeń i po-
datności oraz skutecznością działania zastosowanych środków ochronnych, gdzie:
ryzyko oceny - dotyczy ryzyka błędnych lub niepełnych działań mających na
celu identyfikację strat, zagrożeń i podatności, co powoduje, że straty, zagrożenia
i podatności zostaną źle ocenione;
ryzyko detekcji - dotyczy ryzyka niewykrycia prób realizacji zagrożeń i niesku-
teczności przeciwstawienia się zagrożeniom przez zastosowane środki ochronne
(np. systemy IPS nie wykryją prób ataków wykonywanych przez najnowsze
exploity, oprogramowanie antywirusowe nie wykryje najnowszego złośliwego
kodu itp.).
Rysunek 6.6. Mapa ryzyka z naniesionymi ryzykami, krzywą tolerancji ryzyka oraz
wartościami progowymi dla częstości zdarzeń oraz wartości szkód Przedstawiona na rysunku 6.7 „Akceptacja ryzyka szczątkowego” oznacza decy-
zję, podejmowaną przez kierownictwo firmy, dla której analiza ryzyka była wyko-
Na rysunku 6.6 pokazana jest mapa ryzyka z naniesioną krzywą tolerancji ryzyka nywana, na podstawie ustanowionych dla firmy i zawartych np. w polityce bezpie-
oraz dwiema prostymi: czeństwa opisanych wcześniej:
- pionową, pokazującą granicę między częstościami niekorzystnych zdarzeń, - kryteriów akceptowania ryzyka
powyżej których muszą być podjęte konkretne działania; akceptowalnych poziomów ryzyka.
- poziomą, która oznacza przyjęty górny poziom akceptacji szkód.
Każda forma reagowania na ryzyko, włącznie z jego unikaniem, ma swoją cenę
Zaznaczone na tym rysunku (w postaci trójkątów) przykładowe ryzyka oznaczają: i wiąże się z poniesieniem kosztów, dlatego każda z nich wymaga świadomego finan-
a) w odniesieniu do krzywej tolerancji: ryzyka nieakceptowalne (czarne) oraz sowania ryzyka, tzn. zabezpieczenia środków na jego unikanie, kontrolowanie, trans-
akceptowalne (białe i szare); fer lub retencję. Zwykle na koszty te składają się [31]:
b) w odniesieniu do progów: dodatkowe koszty operacyjne (zmniejszenie wydajności bądź wprowadzenie dodat-
kowych czynności lub procedur, których wykonanie wymaga nakładów pracy),
- prawy górny obszar - ryzyka, których należy unikać,
utracone korzyści (udzielone rabaty, kompromisy rynkowe itp.),
19
W wypadku wykorzystania mediany jako wartości progowej należy posortować ryzyka
szkody pokryte z własnego funduszu (nieubezpieczone bądź stanowiące udział
według prawdopodobieństwa i wybrać, jako wartość progową, ryzyko środkowe. własny),
112 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 1 13
Identyfikacje: środowiska, - różnica między zapłaconymi składkami a odszkodowaniami otrzymanymi od

zagrożeń, podatności ubezpieczyciela,
koszt kontroli ryzyk (inwestycje w redukcję lub prewencję ryzyka, zmiany pro-
Oszacowanie ryzyka cedur, koszt pracy itp.),
- koszt administrowania ryzykiem.
Ocena ryzyka
Istotnym elementem w zarządzaniu ryzykiem jest zatem decyzja (zwykle zarządu
firmy) dotycząca wskaźnika nakładów na postępowanie z ryzykiem. Przyjęcie wskaź-
Podjęcie decyzji, których ryzyk
nika 1:5 oznacza, że akceptowane są tylko takie sposoby reagowania na ryzyko, któ-
będzie się unikać
rych koszt nie przekracza 1/5 wartości ryzyka wyrażonej w zł/rok. Wielkość tego
wskaźnika charakteryzuje podejście zarządu firmy do ryzyka - może ono być agre-
Kontrolowanie pozostałego sywne (mniejsza wartość wskaźnika, mniejsze nakłady na postępowanie z ryzykiem)
ryzyka lub zachowawcze (większa wartość wskaźnika, większe nakłady na postępowanie
Ustalenie środków ochronnych z ryzykiem).
Administrowanie ryzykiem
niezbędnych do osiągnięcia Standardy zarządzania ryzykiem, takie jak brytyjski Risk Management Standard
zadanego poziomu [65], australijski ASNZ 4630 czy amerykański COSO ERM Framework, nie definiują
bezpieczeństwa finansowania ryzyka jako konkretnego, odrębnego etapu czy elementu całego procesu
zarządzania ryzykiem. Zarządzanie ryzykiem byłoby jednak niekompletne bez rozwa-
______ 4______
żenia źródeł i sposobów jego finansowania. Dwa zasadnicze zadania procesu finanso-
Analiza kosztowa wania ryzyka to:
< - zidentyfikowanie optymalnego kosztu ryzyka i sposobu jego finansowania,
_______ X_______ I
- zidentyfikowanie źródła (źródeł) finansowania ryzyka i wybranie optymalnego.
Koszty N Zmiana środków
akceptowalne? ochronnych Świadome i skuteczne finansowanie ryzyka wymaga dobrej wiedzy na temat
V T „portfela” ryzyk przedsiębiorstwa, w tym znajomości statystyki ryzyk już kiedyś
zaistniałych oraz znajomości stanu i skuteczności działań wówczas podjętych w celu
Oszacowanie pozostałego ryzyka
kontrolowania ryzyka. Firma musi mieć jasno sprecyzowany obszar każdego ryzyka,
którego sama nie potrafi skutecznie kontrolować ani przekazać swoim kontrahentom
X biznesowym, czyli musi dysponować wiedzą na temat tzw. ryzyka szczątkowego
i zakresu jego akceptacji.
Podjęcie decyzji, które z pozostałych ryzyk
zostaną transferowane Przykład 6.12
Jeżeli zarząd firmy przyjmuje do wykonania jedynie takie sposoby postępowania
Podjęcie decyzji, które z pozostałych ryzyk z ryzykiem, których koszt nie przekracza wskaźnika 1:4, to dla zidentyfikowanych
zostaną zatrzymane ryzyk można wykonać tabelę obrazującą łączne nakłady na postępowanie z ryzykiem,
które dla zarządu firmy są akceptowalne. Przykład to tabela 6.16.
Akceptacja ryzyka szczątkowego
Rysunek 6.7. Reakcja na ryzyko - kontrolowanie

1 14 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 115
Tabela 6.16. Szacowanie nakładów na postępowanie z ryzykiem 6.7. Administrowanie ryzykiem

Zagrożenie PML Częstość Częstość Ryzyko Nakłady
Do administrowania ryzykiem należy:
(zł) (1/liczba lat) (%) (zł/rok) wskaźnik 1:4
(zł/rok) - raportowanie i powiadamianie o stanie ryzyk,
Kradzież bazy 10 000 000 1/8 12,5 1 250 000 312 500
- opracowanie metody zarządzania ryzykiem,
danych projektów - opracowanie planu odtwarzania (ang. d i s a s t e r r e c o v e r y p la n ) ,
Długotrwałe 4 000 000 1/10 10 400 000 100 000
uszkodzenie łączy
- monitorowanie procesu zarządzania ryzykiem.
Spalenie 2 400 000 1/20 5 120 000 30 000
serwerowni Podstawową zasadą zarządzania i administrowania ryzykiem [31], [59], [65] jest
zasada, że każde ryzyko ma właściciela. Właściciel ryzyka powinien mieć wystar-
czające uprawnienia, aby:
Su m a:
___ podejmować decyzje, w jaki sposób będzie się reagować na ryzyko;
- rozporządzać budżetem, z którego będzie możliwe sfinansowanie działań doty-
Oczekiwana suma
rocznych strat przy braku Suma rocznych nakładów czących kontroli lub transferu ryzyka;
Maksymalna suma rocznych strat, które środków na postępowanie z
firma poniesie, jeżeli spełni się czarny ryzykiem, tzn. ile kosztuje
- być uprawnionym do zarządzenia ewentualnych zmian w funkcjonowaniu części
zmniejszających ryzyko.
scenariusz, tzn. w ciągu roku zrealizują „bezpieczeństwo”. firmy (np. działu), związanej z kontrolowaniem ryzyka.
się wszystkie zagrożenia i nie zostaną
zastosowane żadne środki
zmniejszające ryzyko. Mapa ryzyka stanowi podstawę do wskazania, kto z kierownictwa firmy powi-
nien być właścicielem poszczególnych ryzyk. W gestii zarządu są ryzyka leżące naj-
bliżej prawego górnego rogu. Im bliżej ryzyko jest położone lewego dolnego rogu,
tym „niżej” w hierarchii zarządczej firmy może mieć swojego właściciela.
Przykład 6.13 Monitorowanie ryzyk i działań je kontrolujących spełnia dwa zadania:.
Prawdopodobieństwo wystąpienia w ciągu roku pożaru w firmie określono na 0,001. 1. Śledzenia stanu ryzyk podlegających kontroli (tzn. redukcji lub prewencji), tj.
Oczekiwane łączne straty (z powodu braku możliwości wykonywania pracy plus weryfikowania, czy:
koszty przywrócenia systemu do działania) wywołane pożarem wynoszą I 000 000 zł. - kontrola ryzyka jest skuteczna (czy ryzyka są na pożądanym poziomie);
Oczekiwany koszt strat (odniesiony do jednego roku) wynosi więc: - koszty kontroli ryzyka są zgodne z planem/założeniami.
1 000 000 zł x 0,001= 1000 zł 2. Ostrzegania o nowych ryzykach. Ta funkcja polega na śledzeniu:
- efektów zmian w otoczeniu firmy: rynkowych (w tym konkurencji), technolo-
Jeżeli koszty kompleksowego systemu ppoż. (system czujników plus monitorowanie
gicznych, politycznych, socjalnych, prawnych,
plus działania organizacyjne, tj. przepisy i szkolenia) wynosi 60 000 zł, a czas jego
eksploatacji przewiduje się na 5 lat, to koszty ochrony wynoszą w tym wypadku - efektów zmian wewnątrz firmy (organizacyjnych, technologicznych, prawnych).
12 000 zł rocznie. Wynika stąd, że przy tak nikłym prawdopodobieństwie pożaru nie
jest opłacalne inwestowanie w rozważany system ochrony ppoż. (ale może konieczne W monitorowaniu stanu i jakości ryzyka wykorzystuje się koncepcję kluczo-
będą inne działania w zakresie bezpieczeństwa ppoż., wynikające np. z obowiązują- wych wskaźników ryzyka (ang. k e y r isk i n d ic a to r s ) , która zakłada, że gdy samo
cych przepisów budowlanych czy resortowych). ryzyko jest bezpośrednio niemierzalne, to wprowadza się pomiar czynników określa-
jących je pośrednio (jego prawdopodobieństwo i skutki), wyrażony prostą wartością
liczbową. Śledzenie zmian takich wskaźników daje pogląd na to, w jakim stopniu
zmiana działalności biznesowej lub środowiska zewnętrznego wpływa na zmianę
wartości określonego ryzyka.
r
116 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 1 17
Monitorowanie powinno być wykorzystane do przyspieszania i polepszania jako- lub sieciowe (dla wielu rozproszonych użytkowników z różnymi prawami dostępu)
ści decyzji dotyczących zarządzania firmą na wszystkich szczeblach oraz wyciągania Przykłady takich programów [31]:
wniosków z popełnianych w tym zakresie błędów. Raportowanie natomiast ma na celu - Enterprise Risk Assessor (Methodware, Nowa Zelandia)
dostarczenie udziałowcom podstaw do oceny zarządu i kierownictwa firmy. Ścieżka
- Risk Register (Noweco, Nowa Zelandia)
raportowania jest zwykle następująca:
- J-Port (Portiva, Kanada)
• Każdy pracownik raportuje „kluczowe wskaźniki ryzyka” do właściwego „wła-
ściciela ryzyka”, który na ich podstawie podejmuje decyzje, czy należy zmienić - Securac (Acertus, Kanada)
sposób reagowania na to ryzyko (na tym poziomie raportowanie powinno być - Know Risk (CorProfit, Australia)
częste i regularne). - Risk Decisions (Predict!, Wielka Brytania)
• Właściciele ryzyk o mniejszej istotności raportują swoje ryzyka zarządowi, który - International Security Technology (CORA, Stany Zjednoczone).
ocenia i ewentualnie koryguje ich decyzje (na tym poziomie raportowanie może
być okresowe, np. co kwartał). 6.7.1. Zadania, czynności i zakresy kompetencji - organizacja
• Zarząd w rocznym sprawozdaniu dla udziałowców umieszcza informacje o stanie procesu zarządzania ryzykiem
ryzyk, za które sam odpowiada20 (ryzyka o największej istotności), o sposobie Zalecenia dotyczące administrowania ryzykiem komplikują się w wypadku próby
i skutkach zarządzania nimi, a także wspomina o ryzykach o mniejszej istotności, zastosowania ich w praktyce. Komplikacje te wynikają przede wszystkim z istnieją-
o których wiadomo, że ich właściciele mają trudności z ich skutecznym kontro- cych w firmie, konkretnych rozwiązań struktury organizacyjnej (zdefiniowanej zwykle
lowaniem. w dokumencie pod często spotykaną nazwą „Regulamin organizacyjny”) i związanych
z tą strukturą:
Stosowanym zwykle narzędziem do jednoczesnego monitorowania i raportowa-
nia ryzyk jest tzw. rejestr ryzyka. Zaleca się [31] zainicjowanie go na etapie identyfi- - zdefiniowaniem ról w firmie;
kacji ryzyka. Jest to zwykle baza danych, zawierająca wszystkie informacje odnoszące - rozdziałem zakresów obowiązków i odpowiedzialności;
się do zidentyfikowanych ryzyk: wykaz i stan ryzyk, zmiany w czasie, sposoby postę- sposobem finansowania zadań (kto dysponuje finansami, jakimi i na jaki cel).
powania z ryzykiem (w tym nazwiska osób odpowiedzialnych za to postępowanie),
koszty postępowania z ryzykiem itp. Rejestr ryzyka może również prezentować zda- Sprawy skomplikują się jeszcze bardziej, gdy uwzględni się, np. zgodnie z od-
rzenia związane z zarządzaniem ryzykiem (w tym terminy, np. harmonogramu bu- powiednimi regulacjami prawnymi, wszystkie osoby uwikłane w procesy zapewniania
dowy systemu zabezpieczeń), a także służyć do oceny jakościowej - porównania, jak odpowiedniej ochrony przetwarzanej informacji. W wypadku tylko informacji niejaw-
sobie radzą z podobnymi ryzykami różne oddziały tej samej firmy - oraz przyporząd- nych, zgodnie z ustawą o ochronie informacji niejawnych i wydanym do tej ustawy
kowania ryzyk do konkretnych celów biznesowymi firmy. Zwykle do prowadzenia rozporządzeniem w sprawie podstawowych wymagań bezpieczeństwa systemów
rejestru ryzyka używa się specjalistycznego oprogramowania. i sieci teleinformacyjnych, będą to:
Również inne elementy zarządzania ryzykiem mogą być (i najczęściej są) kom- kierownik jednostki organizacyjnej,
puterowo wspomagane. Programy są zwykle projektowane tak, aby spełniać wymogi pełnomocnik ds. ochrony informacji niejawnych,
prawne, standardy narodowe lub międzynarodowe (np. SOX, COSO, Basel II,
- inspektor bezpieczeństwa teleinformatycznego,
ISO/IEC-17799 itp.), zalecenia i/lub dobre praktyki. Oprogramowanie jest sprzeda-
wane w różnych wersjach, dla różnej liczby użytkowników - od wersji najprostszej - administrator systemu,
dla jednego użytkownika aż po rozwiązania klient/serwer oparte na technologii ODBC - kierownik kancelarii tajnej.
Gdy w firmie przetwarzane są poza tym informacje stanowiące dane osobowe

Badania przeprowadzone wśród przedsiębiorstw brytyjskich wykazały, że zarządy firm w rozumieniu ustawy o ochronie danych osobowych, należy wyznaczyć:
mogą sprawnie i skutecznie wypełniać obowiązki właściciela najwyżej sześciu ryzyk. administratora bezpieczeństwa informacji (ABI).
Obciążenie ich większą liczbą ryzyk z dużym prawdopodobieństwem spowoduje odłoże-
nie tych ryzyk „na półkę” [31],
Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 119
Od strony technicznej, osobami odpowiedzialnymi za praktyczne zapewnienie (w tym dostęp do odpowiednich dokumentów) można znaleźć także w rozdziale
bezpieczeństwa informacji przetwarzanych w systemach IT będą: drugim w [ 16|. Zawartość tabeli 6.17 jest przykładem możliwego rozwiązania sygnali-
zowanego problemu dla firmy, w której są wyznaczone stanowiska jak w kolumnie
- osoba kierująca działem IT,
pierwszej.
- administratorzy techniczni: serwerów, sieci, stacji roboczych.
Tabela 6.17. Udziałowcy procesu zarządzania ryzykiem i zakresy kompetencji
Od strony operacyjnego zarządzania firmą do procesów zapewniania bezpieczeń-
stwa teleinformatycznego będą włączeni:
Udziałowiec Zakres kompetencji Uwagi
- kierownicy komórek organizacyjnych,
Zarząd firmy ryzyka o największej wadze; nie więcej niż sześć Wśród tych sześciu
- forum kierowania polityką bezpieczeństwa21.
może się znaleźć
ryzyko
Pytania, na które należy odpowiedzieć, to: „informacyjne”.
• lak powinny być ustalone zakresy odpowiedzialności, kontroli i nadzoru w za-
Firmowy menedżer ocena ryzyk, w tym ryzyka „informacyjnego”, Jeśli w firmie jest
kresie bezpieczeństwa teleinformatycznego? i nadanie im priorytetów takie stanowisko.
ryzyka
• lak powinny być ustalone zakresy odpowiedzialności, kontroli i nadzoru w za- biznesowego
kresie zarządzania ryzykiem, w szczególności ryzykiem z obszaru 1T? właściciel ryzyka „teleinformatycznego”,
Dyrektor u m ow n a n a zw a
• Czy i jakie funkcje z poszczególnych stanowisk (operacyjnych i kierowniczych departamentu IT monitorowanie tego ryzyka i działań je sta n o w is k a
IT, firmowych struktur bezpieczeństwa, firmowych struktur zarządzania ryzy- kontrolujących,
kiem), dotyczące bezpieczeństwa teleinformatycznego i zarządzania ryzykiem, raportowanie pełnomocnikowi ds.
mogą być łączone w ramach jednego stanowiska? bezpieczeństwa
• Czy i jakie funkcje z poszczególnych stanowisk (operacyjnych i kierowniczych Pełnomocnik ds. właściciel ryzyka „informacyjnego”, um ow na n a zw a
IT, firmowych struktur bezpieczeństwa, firmowych struktur zarządzania ryzy- bezpieczeństwa monitorowanie tego ryzyka i działań je stan ow isk a
kiem), dotyczące bezpieczeństwa teleinformatycznego i zarządzania ryzykiem, kontrolujących, Przyjęto, że ryzyko
mogą być rozdzielone i między jakie stanowiska? raportowanie firmowemu menedżerowi ryzyka informacyjne
• Czy budżet na zarządzanie bezpieczeństwem teleinformatycznym i zarządzanie biznesowego zawiera ryzyko
ryzykiem to jeden (ten sam) budżet? teleinformatyczne.
• laki jest rozdział środków na zarządzanie bezpieczeństwem teleinformatycznym Administrator monitorowanie ryzyka teleinformatycznego um ow n a na zw a
(w tym jaka część tych środków jest przeznaczona na zarządzanie ryzykiem te- bezpieczeństwa i działań je kontrolujących. stan ow isk a
leinformatycznym), w wypadku jednego budżetu; teleinfor- raportowanie pełnomocnikowi
matycznego ds. bezpieczeństwa
• Czy budżet na zapewnianie działalności operacyjnej działu IT zawiera wyżej
wymienione budżety, czy też są one odrębne? implementacja zabezpieczeń, monitorowanie
Administratorzy
techniczni sieci, poprawności i skuteczności ich działania,
Wydaje się, że ustalenie a priori, kto powinien być właścicielem ryzyka, kto po- serwerów, stacji
winien odpowiadać za bezpieczeństwo teleinformatyczne, jak powinno być realizowa- raportowanie zagrożeń i podatności dyrektorowi
roboczych departamentu IT
ne współdziałanie itp., nie jest możliwe. Będzie to zależało od konkretnych, przyję-
tych w firmie rozwiązań organizacyjnych. Można mówić najwyżej o pożądanym
modelu w tym zakresie - pewnych wskazówek może dostarczyć np. dokument [36J. W rozwiązaniu problemu nie pomogą także uznane normy. Na przykład w [56],
Interesującą dyskusję na zbliżony temat ról oraz zapotrzebowania na informację w załączniku normatywnym A, gdzie są wyspecyfikowane cele stosowania zabez-
pieczeń i zabezpieczenia, pisze się tylko (A.4.1.3): o d p o w i e d z i a l n o ś ć z a o c h r o n ę
21
Nazwa za PN-ISO/IEC-17799 [54],
12 0 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 121
in d y w id u a ln y c h a k t y w ó w i r e a li z a c j ę o k r e ś lo n y c h p r o c e s ó w b e z p ie c z e ń s tw a p o w in n a PPPI w systemach 1T PPPI w pozostałych miejscach w firmie

Pewne ogólne wytyczne (tzw. rekomendacje) odnoszące
b y ć w y r a ź n ie z d e f in io w a n a . 1. Umiejscowienie: dział IT 1. Umiejscowienie: cała firma.
się do działalności banków można znaleźć w [61], [62], por. także rys. 6.8. (ale sieć i jej elementy są •—i
rozproszone po całej firmie!) W)
o
2. Właściciel procesu/ryzyka: |2. Właściciel procesu/ryzyka: kierownik
- Zatwierdza założenia strategii
prowadzenia działalności (w tym kierownik działu IT. N działu odpowiedzialnego za
ogólne zasady zarządzania bezpieczeństwo w firmie.
ryzykiem)
- Dokonuje okresowej oceny 3. Zadanie: minimalizowanie |3. Zadanie: minimalizowanie ryzyka
N
realizacji strategii przez zarząd ryzyka utraty dostępności U utraty tajności, integralności,
- Sprawuje kontrolę nad działaniami informacji z powodu awarii/ -fc* dostępności informacji oraz nadzór
audytu wewnętrznego złej konfiguracji systemu 53
nad „bezpieczeństwem” informacji
teleinformatycznego oraz C
•N
w systemach IT.
tajności i/lub integralności O
I------------------------------- E
z powodu błędów w organizacji
I - Opracowuje i wdraża strategię
I zarządzania ryzykiem
dostępu do informacji
1 - Organizuje proces zarządzania
w systemie 1T.
ryzykiem
, — Usprawnia proces zarządzania
I ryzykiem
Rysunek 6.9. Dotychczasowe podejście do zarządzania bezpieczeństwem informacji
PPPI w systemach IT,

PPPI w pozostałych miejscach (komórkach organizacyjnych) w firmie.
Wydaje się, że obecnie w praktyce przewagę zyskuje model następującej dekom-

Rysunek 6.8. Zarządzanie ryzykiem według wytycznych Komisji Nadzoru Bankowego [62] pozycji PPPI:
1. Podproces utrzymywania i zapewniania efektywności działania infrastruktury
Biorąc pod uwagę coraz powszechniejsze widzenie zagadnień szeroko rozumia- przetwarzania, obiegu i przechowywania informacji w systemie IT.
nego bezpieczeństwa przez pryzmat procesów i ryzyka (i co z tym się wiąże, rozpo-
- Właściciel ryzyka: kierownik działu IT.
wszechnienie innej terminologii) można chyba stwierdzić, że - z perspektywy zarzą-
dzania bezpieczeństwem - nadchodzi zmierzch bezpieczeństwa teleinformatycznego. - Zadanie: minimalizowanie ryzyka utraty dostępności informacji z powodu
W zasadzie można w kompletny i spójny sposób opisać to, co nazywane było dotąd awarii/zlej konfiguracji systemu teleinformatycznego oraz tajności i/Iub inte-
„bezpieczeństwem komputerowym”, „bezpieczeństwem sieciowym”, „bezpieczeństwem gralności z powodu błędów w organizacji dostępu do informacji w systemie
teleinformatycznym” itp., nie używając tych terminów, a posługując się jedynie poję- IT (system ma działać, i to działać dobrze!).
ciami procesu i ryzyka (oraz działań związanych z minimalizowaniem, czy jak to się też 2. Podproces przetwarzania, obiegu i przechowywania informacji poza systemem IT.
czasami nazywa, „łagodzeniem” ryzyka). Wyeliminowanie tych nazw i związanych - Właściciel ryzyka: kierownik odpowiedniej komórki organizacyjnej, np. ar-
z nimi stanowisk pozwala lepiej skonstruować odpowiednią organizację stanowisk za- chiwum zakładowego.
rządzania ryzykiem i tym, co (jeszcze) nazywa się bezpieczeństwem.
- Zadanie: minimalizowanie ryzyka utraty dostępności, tajności lub integralno-
Na podstawie współczesnego widzenia działalności firmy przez pryzmat proce- ści informacji z powodu jej złego obiegu, przechowywania lub przetwarzania
sów biznesowych, rysuje się tendencja do utożsamiania „właściciela procesu” (wyma- (w tym udostępniania i niszczenia) czyli błędów w organizacji pracy i złego
ganego np. przez normy ISO 9000) z „właścicielem ryzyka” (związanego z realizacją wyposażenia.
tego procesu). Jednym z takich procesów biznesowych na pewno będzie przetwarzanie,
3. Podproces zapewniania tajności, integralności i dostępności informacji w firmie.
przesyłanie i przechowywanie informacji (dalej PPPI). Dotychczas zwykle rozwijało
się je na podprocesy (por. rys. 6.9): - Właściciel ryzyka: kierownik firmowej komórki bezpieczeństwa, np. działu
ochrony.
- Zadania: d z a n ia r y z y k ie m b y ł z in t e g r o w a n y z a r ó w n o z. p r o c e s a m i z a r z ą d z a n ia p r z e d s i ę w z i ę -
- identyfikacja i analiza zagrożeń dla tajności, integralności, dostępności in- Zgodnie z wytycznymi zawartymi
c ie m , j a k i z p r o c e s a m i z w i ą z a n y m i z w y r o b e m .
formacji; w [65], wykonanie tego zadania wymaga dogłębnej znajomości firmy, rynku, na którym
- ustanawianie i wdrażanie zasad zapewniania tajności, integralności i do- działa, oraz środowiska gospodarczego, politycznego i społecznego. Osoba przeprowa-
stępności informacji w firmie oraz kontrolowanie przestrzegania tych zasad. dzająca analizę ryzyka powinna znać i rozumieć strategiczne i operacyjne cele działalno-
ści firmy, a także znać wyniki analizy SWOT dla firmy i związanego z nią rynku.
Przy takim podziale:
Niniejsze opracowanie dotyczy jednak nie ryzyka biznesowego (chociaż kontekst
1. Właściciele ryzyk podprocesów 1) i 2) raportują je do właściciela ryzyka podpro-
biznesowy jest w nim mocno zaznaczony), lecz „wycinkowego” ryzyka związanego
cesu 3), a ten po „scaleniu” i uzupełnieniu raportuje jako kompletne ryzyko PPPI
z eksploatacją firmowych systemów informatycznych oraz z budową systemu ochrony
do menedżera firmowego.
informacja przetwarzanej w takich systemach. Mając na uwadze koszty i słabości
2. Nie ma kłopotu z budżetem: procesu analizy ryzyka, podkreślane w wielu miejscach niniejszego opracowania
1) Właściciel ryzyka podprocesu 1) dostaje środki na utrzymanie infrastruktury (i omawiane m.in. także w [15], [18], [19]), należy się zastanowić, czy nie ma alterna-
IT oraz odpowiednią organizację pracy. tywy dla analizy ryzyka, przynajmniej w odniesieniu do ryzyka związanego z prze-
2) Właściciel ryzyka podprocesu 2) dostaje środki na organizację pracy podległej twarzaniem informacji w systemach informatycznych. Wydaje się, że alternatywą
komórki, w tym na realizację zadań związanych z PPPI (telefony, sejfy, faksy, w tym zakresie może być audyt bezpieczeństwa teleinformatycznego. Jeżeli spojrzy
drukarki, kopiarki itd.). się na taki audyt i alternatywną analizę ryzyka przez pryzmat produktów wejściowych
3) Właściciel ryzyka podprocesu 3) dostaje środki na: i wyjściowych do tych przedsięwzięć, to okaże się, że:
- analizę ryzyka w zakresie bezpieczeństwa informacji; 1) Produkty wejściowe procesu analizy ryzyka to:
- opracowanie i wdrożenie odpowiedniej dokumentacji; - określenie pożądanego poziomu bezpieczeństwa

- prowadzenie przedsięwzięć kontrolnych (w tym audytów bezpieczeństwa Produkty wyjściowe procesu analizy ryzyka to:
informacji). - określenie ryzyka szczątkowego
- lista zagrożeń,
Personel kierowniczy średniego szczebla, do którego w większości należą też,
- lista podatności,
zgodnie z zaprezentowanym schematem, właściciele procesów i/lub ryzyk z nimi
związanych, jest głównym nosicielem szczególnie groźnego dla skuteczności systemu - lista zalecanych zabezpieczeń.
bezpieczeństwa „syndromu kelnera”22. Wydaje się, że przy zaprezentowanym podej- 2) Produkty wejściowe procesu audytu to:
ściu jest szansa na to, że wszyscy, którzy mają odpowiednią wiedzę, środki i kompe- - określenie standardu, z którym ma być badana zgodność w zakresie zarządza-
tencje, będą się interesować szeroko rozumianym bezpieczeństwem informacji i sto- nia bezpieczeństwem teleinformatycznym lub
sownie postępować, nie zrzucając odpowiedzialności w jedno miejsce (tzn. na przy- - określenie miary gwarantowanej odporności (np. poziomu EAL z normy PN-
kład na pion ochrony lub dział IT). ISO/IEC-15408:3), dla której ma być przeprowadzony audyt.
Produkty wyjściowe procesu audytu to:
6.8. Podsumowanie rozważań o analizie ryzyka - określenie stopnia zgodności z wybranym standardem
- lista zagrożeń,
Za [59] można zacytować: R y z y k o j e s t z w ią z a n e z k a ż d y m p r z e d s i ę w z ię c i e m ,
- lista podatności,
Z k a żd ym p r o c e s e m i z k a ż d ą d e c y z j ą w c z a s i e tr w a n ia p r z e d s i ę w z i ę c i a . D la t e g o z a l e c a
się , a b y r y z y k i e m z a r z ą d z a n o n a k a ż d y m e ta p i e p r z e d s i ę w z i ę c i a i a b y p r o c e s z a r z ą -
- lista zalecanych zabezpieczeń.
Z przedstawionego porównania wynika, że audyt w zakresie bezpieczeństwa te-

22
B e zp iec ze ń stw o sie c i i k o m p u te ró w ? To n ie j a (m y ), to d y re k to r d z ia łu I T i je g o lu d zie ! leinformatycznego (prowadzony np. według metodyki LP-A 115], [20]) można uznać
[15].
124 Analiza ryzyka i ochrona informacji w systemach komputerowych
za wariant jakościowej analizy ryzyka. W procesie audytu ryzyko, związane z prze- Rozdział 7
twarzaniem informacji w audytowanej organizacji, analizowane jest z użyciem:
wiedzy uogólnionej (np. w postaci standardów i zautomatyzowanych narzędzi
do testów penetracyjnych) oraz
O testowaniu i audycie
wiedzy eksperckiej (w postaci heurystycznych testów penetracyjnych).
Na zakończenie przeglądu zagadnień związanych z zarządzaniem ryzykiem

warto również przypomnieć zalecane sposoby przeprowadzenia analizy ryzyka. W [53 i
proponowane są następujące:
1. Analiza standardowa. „Ufaj, ale kontroluj”
Informacje o zagrożeniach, podatnościach i wymaganych środkach ochronnych L en in
związanych z konkretnym, analizowanym systemem uzyskuje się, modelując rze-
czywisty system teleinformatyczny (wraz ze środowiskiem) używając predefi-
Testowanie systemu bezpieczeństwa teleinformatycznego jest przedsięwzięciem
niowanych „klocków”:
kompleksowym i unikatowym ze względu na niejednorodność współpracujących w ra-
(obiekt, zagrożenie, podatności, środki ochronne) mach systemu obiektów podlegających testowaniu. Są to obiekty:
organizacyjne (procedury i struktury organizacyjne),
gdzie „obiekt” to np. serwer, pomieszczenie biurowe, system operacyjny Win2k.
Analiza standardowa wymaga udostępnienia ogólnie uznawanego „poradnika” fizyczne (zamki, płoty itp.),
zawierającego katalog ww. predefiniowanych elementów wraz z metodyką ich techniczne (systemy ppoż., systemy nadzoru wizyjnego, elektroniczne systemy
użycia. Przykładem takiego poradnika jest IT —G r u n d s c h u tz h a n d b u c h wydany uwierzytelniania dostępu do obiektów itp.),
przez Bundesamt fur Sichercheit in der Informationstechnik i dostępny pod adre- programowe (IPS, zapory sieciowe, systemy uwierzytelniania logicznego),
sem www. b s i . bund. de.
oraz ludzie jako obiekty szczególnie wrażliwe z tego powodu, że wykonywane (lub
2. Analiza nieformalna. zaniechane) przez nich działania mogą stanowić elementy ścieżki penetracji.
Najkrócej ten sposób przeprowadzenia analizy ryzyka można scharakteryzować

tak: każdy robi ją, jak potrafi. 7.1. Przegląd rodzajów badań
3. Szczegółowa analiza ryzyka (ang. d e ta ile d r is k a n a ly s is ) . Podstawowe rodzaje badań (testy) mające na celu wykrycie błędów i zapewnie-
Zakłada wykonanie pełnego schematu analizy ryzyka w wersji ilościowej (opero- nie o poprawności działania systemu można sklasyfikować następująco:
wanie wartościami prawdopodobieństwa) lub jakościowej (wskazanej w [53], za- 1. Zgodności (ang. v a lid a tio n te s t) - jest to badanie systemu wykonywane w celu
kładającej operowanie predefiniowanymi wartościami opisowymi „możliwości” sprawdzenia, czy produkt spełnia określone wymagania, np. narzucone przez re-
i „strat”).4 gulacje i standardy państwowe. Pomyślne przejście takich testów może być pod-
stawą do wydania certyfikatu dla systemu, np. certyfikatu zgodności z wymaga-
4. Podejście mieszane (ang. c o m b in e d a p p r o a c h ) .
niami PN-ISO/IEC 27001.
Dla wszystkich systemów wykonywana jest wstępna analiza ryzyka („biznesowe 2. Systemu - jest to szczególny przypadek badania zgodności wykonywany w celu
spojrzenie” na systemy teleinformatyczne). Dla systemów zidentyfikowanych na sprawdzenia, czy wykonany system spełnia wymagania funkcjonalne określone
jej podstawie jako obsługujące kluczowe procesy biznesowe wykonywana jest przez użytkowników. Zwykle składa się z:
szczegółowa analiza ryzyka, dla pozostałych - standardowa analiza ryzyka.

R6 - O Ryzyku I Zarządzaniu Ryzykiem - Liderman - Analiza Ryzyka

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

R6 - O Ryzyku I Zarządzaniu Ryzykiem - Liderman - Analiza Ryzyka

Uploaded by

Copyright:

Available Formats

r

WYDAWNICTWO NAUKOWE PWN

O ryzyku i zarządzaniu ryzykiem

„Są w życiu chwile, w których trzeba podjąć

Termin „ryzyko”, podstawowy w niniejszym rozdziale, jest różnie, choć podob-

Czterotomowa „Encyklopedia powszechna” (PWN, Warszawa, 1987) określa ry-

Według normy PN-I-02000 [51] ryzyko to:

a według normy PN-I-13335-1:1999 [52]: 6.1. Ryzyko a problemy decyzyjne*

1 Dane osobowe tajność wysoki Dane osobowe zgodnie z obowiązującymi

Analizy przeprowadzane podczas identyfikacji zagrożeń pozwalają zwykle na

- prawdopodobieństwa realizacji zagrożenia;

W tym kontekście ryzyko można interpretować tak: jest to liczba wyrażająca

6.5.1. Oszacowanie ryzyka - metoda ilościowa (studium przypadku)

Drzewo błędów (to również graficzny model zależności przyczynowo-skutko- k k k k

Tabela 6.2. Szacowanie ryzyka Tabela 6.3. Ranking zagrożeń

Poziom Niski Średni Wysoki

98 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 99

Tabela 6.9. Klasyfikacja ryzyk Nieznaczne

Tabela 6.10. Klasyfikacja częstości zdarzeń

ORGANIZACYJNYCH TECHNICZNYCH FIZYCZNYCH

Warto również zauważyć, że ze względów praktycznych skala szkód jest skalą

6.6.3. Ryzyko akceptowalne i koszty postępowania z ryzykiem

Identyfikacje: środowiska, - różnica między zapłaconymi składkami a odszkodowaniami otrzymanymi od

Rysunek 6.7. Reakcja na ryzyko - kontrolowanie

Tabela 6.16. Szacowanie nakładów na postępowanie z ryzykiem 6.7. Administrowanie ryzykiem

Gdy w firmie przetwarzane są poza tym informacje stanowiące dane osobowe

in d y w id u a ln y c h a k t y w ó w i r e a li z a c j ę o k r e ś lo n y c h p r o c e s ó w b e z p ie c z e ń s tw a p o w in n a PPPI w systemach 1T PPPI w pozostałych miejscach w firmie

PPPI w systemach IT,

Wydaje się, że obecnie w praktyce przewagę zyskuje model następującej dekom-

- opracowanie i wdrożenie odpowiedniej dokumentacji; - określenie pożądanego poziomu bezpieczeństwa

Z przedstawionego porównania wynika, że audyt w zakresie bezpieczeństwa te-

Na zakończenie przeglądu zagadnień związanych z zarządzaniem ryzykiem

Najkrócej ten sposób przeprowadzenia analizy ryzyka można scharakteryzować

You might also like